Giriş
Son dönemde enerji sektöründeki siber saldırılar artarken, bir siber tehdit aktörünün Çin bağlantılı olduğu tespit edilen bir “çoklu dalgalı ihlal” ile 2025 Aralık ile 2026 Şubat arasında bir Azerbaycan petrol ve gaz şirketini hedef aldığı belirtiliyor. Bu olay, siber güvenlik alanında stratejik bir öneme sahip, zira saldırılar, mevcut güvenlik zafiyetlerinin sürekli istismar edilmesini gözler önüne seriyor.
Problemin Kaynağı
Saldırı, Bitdefender tarafından güvenilir bir biçimde FamousSparrow (diğer adıyla UAT-9244) adlı saldırı grubu ile ilişkilendirildi. Bu grup, Earth Estries ve Salt Typhoon isimli diğer gruplar ile bazı taktik benzerlikler paylaşmaktadır. Deed RAT (diğer adıyla Snappybee) ve TernDoor gibi iki farklı arka kapı, üç ayrı dalga halinde dağıtımı gerçekleştirildi.
Saldırı Nasıl Çalışıyor?
Saldırıların ayrıntıları incelendiğinde, saldırganların sıkça aynı güvenli olmayan Microsoft Exchange Server giriş noktasını kullandıkları görülüyor. Her seferinde arka kapıları değiştirmişlerdir:
- 25 Aralık 2025: Deed RAT
- Ocak/Şubat 2026: TernDoor
- Şubat 2026: Modifiye edilmiş Deed RAT
Saldırganların, ProxyNotShell zincirini kullanarak ilk erişimi sağladıkları değerlendirilmektedir.
Etkilenen Sistemler
Azerbaycan’ın enerji güvenliği rolünün arttığı bir dönemde gerçekleşen bu saldırı, bölgedeki siber güvenlik risklerini artırmaktadır. Sektör, dünya enerji pazarında kritik bir konumda bulunuyor.
Tehdit Aktörlerinin Yöntemleri
Başlangıçta web shell’lerin dağıtılmasına yönelik çabaların ardından, Deed RAT kullanılarak gelişmiş bir DLL side-loading tekniği ile kötü amaçlı bir DLL’in yüklenmesi sağlandı. Kötü amaçlı kütüphanede yer alan iki spesifik dışa aktarılan işlevin üzerine yazılması, bu yöntemin savunma önlemlerini aşmasına imkan tanıdı.
Çözüm ve Korunma
Bu tarz sürekli saldırılardan korunmak için aşağıdaki önlemler alınmalıdır:
- Tüm sistemlerinizi güncel tutun ve güvenlik yamalarını uygulayın.
- Microsoft Exchange Server ‘ı güncel versiyonlarla düzenli olarak kontrol edin.
- Açık portları kapatın ve yalnızca ihtiyaç duyulan hizmetlere izin verin.
- Kötü amaçlı yazılımlara karşı güncel bir antivirüs kullanın.
Sonuç
Azerbaycan’daki bu siber saldırılar, bir tehdit aktörünün sürekli olarak aynı erişim yolunu hedefleyebileceğini gösteriyor. Şirketler, siber saldırılara karşı hazırlık yapmalı ve güvenlik uygulamalarını güçlendirmelidir. Güncellemeleri derhal yapın, açık portları kapatın ve güvenlik sistemlerinizi gözden geçirin. Unutmayın, saldırganlar zayıf noktaları sürekli olarak hedef alacaktır.
