Google Chrome’da Tespit Edilen Güvenlik Açığı ve Saldırı Stratejileri
2025 yılı, siber güvenlik alanında önemli olaylara sahne oldu. Google Chrome üzerindeki bir güvenlik açığı, Zero-Day olarak adlandırılan bir yöntemle kötü niyetli kişiler tarafından istismar edildi. Bu saldırı, TaxOff isimli bir grup tarafından gerçekleştirildi ve Trinper adında bir arka kapı yazılımı kullanıldı. Positive Technologies tarafından Mart 2025’te gözlemlenen bu durum, siber güvenlik alanında ciddi endişelere neden oldu.
- Google Chrome’da Tespit Edilen Güvenlik Açığı ve Saldırı Stratejileri
- Güvenlik Açığının Detayları
- Phishing E-postalarının Kullanımı
- Arka Kapı Yazılımı Trinper’in İşlevselliği
- Kommando Kontrol Sunucusu ile İletişim
- Geçmişteki Saldırılar ve Benzerlikler
- Saldırgan Gruplar ve Hedef Alma Stratejileri
- Yeni Güvenlik Açıkları ve Etkileri
Güvenlik Açığının Detayları
Güvenlik açığı, CVE-2025-2783 koduyla izlenmekteydi ve CVSS puanı 8.3 olarak değerlendirildi. Açık, bir sandbox escape zafiyetine dayanmaktadır. Söz konusu açığın geçici olarak kapatılması, Google tarafından ay sonunda yapıldı. Kaspersky tarafından bildirilen saldırılarda, Rusya’da çeşitli kuruluşlar hedef alındı. Saldırganlar, siber casusluk amacıyla phishing e-postaları kullandılar.
Phishing E-postalarının Kullanımı
Saldırıların başlangıç noktası, bir phishing e-postasıydı. Bu e-posta, kullanıcıları Primakov Readings forumuna davet ettiğini iddia ediyordu. Kullanıcıların tıkladığı zararlı bağlantılar, kötü niyetli bir web sitesine yönlendirdi. Stanislav Pyzhov ve Vladislav Lunin isimli güvenlik araştırmacıları, bu bir tıklamayla gerçekleştirilen saldırının detaylarını paylaştılar. E-posta, dikkatlice hazırlanmış bir tuzağın parçasıydı ve kullanıcıların dikkatini çekmek için etkili bir yöntemdi.
Arka Kapı Yazılımı Trinper’in İşlevselliği
Trinper, C++ dilinde yazılımdır ve bir dizi yetenek sunmaktadır. Bu arka kapı, hedef sistemden bilgi toplamak, tuş vuruşlarını kaydetmek ve belirli uzantılara sahip dosyaları toplamak gibi işlevlere sahiptir. Özellikle .doc, .xls, .ppt, .rtf ve .pdf dosyalarını hedef alarak, kullanıcıların mahremiyetini ihlal etmektedir. Ayrıca uzaktan bir sunucu ile bağlantı kurarak verilen komutları yerine getirir ve elde ettiği sonuçları exfiltrate eder.
Kommando Kontrol Sunucusu ile İletişim
Trinper’in komut ve kontrol (C2) sunucusu, arka kapının işlevselliğini genişletmekte ve kullanıcının bilgisayarına komut göndererek çeşitli işlemleri gerçekleştirmesine olanak vermektedir. Bu komutlar, dosya okuma/yazma, komut çalıştırma, ters shell oluşturma gibi pek çok işlemi kapsar. Lunin, bu multithreading yapısının, arka kapının görünürlüğünü azaltırken veri toplama ve iletişimi sürdürme yeteneğini artırdığını belirtti.
Geçmişteki Saldırılar ve Benzerlikler
Positive Technologies‘nin Mart 2025’teki saldırıya dair yaptığı araştırmalar, aynı zamanda Ekim 2024’te yapılan başka bir saldırının izlenimlerine de ulaşmalarına olanak sağladı. Bu saldırıda da benzer bir phishing e-postası kullanıldı ve "Security of the Union State in the modern world" isimli uluslararası bir konferansa davet edildiği iddia edildi. Bu e-posta, kullanıcıları zararlı bir ZIP dosyasını indirmeye yönlendirdi.
Saldırgan Gruplar ve Hedef Alma Stratejileri
TaxOff, Rusya’daki devlet dairelerini hedef alan bir grup olarak ilk kez 2024’te kaydedildi. Daha özellikle, yasal ve finansal konularla ilgili e-postalar kullanarak Trinper’i yaydılar. Diğer bir grup olan Team46 ise bu tür sosyal mühendislik saldırılarıyla benzer yöntemler uyguladı. Team46’nın da, Rostelecom telecom şirketinden geliyormuş gibi görünen e-postalar gönderdiği ve kullanıcıları oltaya düşürdüğü bildirildi.
Yeni Güvenlik Açıkları ve Etkileri
Söz konusu saldırılar, sıklıkla zero-day açıkları ile gerçekleştirildi. Bu tür açıklar, güvenlik önlemlerinin henüz devreye girmediği anlarda kullanıldığından, siber saldırganlar açısından büyük bir avantaj sağlıyor. Örneğin, 2024’teki bir başka saldırı, Yandex Tarayıcısı üzerinde bir DLL hijacking zayıflığı kullanarak gerçekleştirildiği tespit edildi. Bu durum, önceki keşiflerin güvenlik önlemlerini nasıl aşmak için kullanıldığını gösteriyor.
Hacker gruplarının, güvenlik sistemlerini daha etkili bir şekilde geçebilmek için zero-day açıklarını sürekli olarak kullandıkları görülüyor. Bu tür grupların, gelişmiş zararlı yazılımlar kullanmaları, uzun vadeli stratejiler geliştirdiklerini ve ele geçirdikleri sistemlerde sürekli kalmayı planladıklarını gösteriyor.
Siber güvenlik alanında gerçekleşen bu olaylar, her bireyin dijital dünyada dikkatli olması gerektiğini bir kez daha gözler önüne seriyor.
