Giriş
Son dönemde, UAT-8837 kod adıyla bilinen ve Çin ile bağlantılı olduğu düşünülen bir tehdit aktörü, Kuzey Amerika’daki kritik altyapı sistemlerine yönelik saldırılarda bulunmaktadır. Bu grup, hem bilinen hem de sıfır gün (zero-day) açığı istismar ederek hedeflenen kuruluşlara ilk erişimi elde etmeye çalışmaktadır.
Saldırı Nasıl Çalışıyor?
UAT-8837 grubunun saldırıları genellikle, ele geçirilmiş kimlik bilgilerini kullanarak veya sunucu zafiyetlerinden faydalanarak başlamaktadır. Son gerçekleştirdikleri bir saldırıda, CVE-2025-53690 kodlu, Sitecore ürünlerindeki bir ViewState Deserialization sıfır gün açığını istismar etmişlerdir.
Mandiant araştırmacıları, bu açığın Eylül 2025’te aktif olarak istismar edildiğini bildirmiştir; bu saldırıda, ‘WeepSteel’ adında bir keşif arka kapısının dağıtıldığı gözlemlenmiştir.
Etkilenen Sistemler
CVE-2025-53690 üzerinde yapılan incelemelerde, saldırıyla bağlantılı bazı önemli araçlar şunlardır:
- GoTokenTheft, Rubeus, Certipy – Erişim belirteçlerini çalmak, Kerberos’u kötüye kullanmak ve Active Directory ile ilgili kimlik bilgilerini toplamak için kullanılır.
- SharpHound, Certipy, setspn, dsquery, dsget – Active Directory kullanıcılarını, gruplarını, SPN’leri ve servis hesaplarını listelemek için kullanılır.
- Impacket, Invoke-WMIExec, GoExec, SharpWMI – Uzak sistemlerde komutları WMI ve DCOM üzerinden yürütmek için kullanılır ve tespit engelleyici durumlarda araç değiştirirler.
- Earthworm – Ters SOCKS tünelleri oluşturarak saldırganın kontrolündeki altyapıya iç sistemleri maruz bırakır.
- DWAgent – Erişimi sürdürmek ve ek yükleri dağıtmak için kullanılan bir uzaktan yönetim aracıdır.
- Windows komutları ve araçları – Ana bilgisayar, ağ ve güvenlik politikası bilgilerini toplamak amacıyla kullanılır.
Çözüm ve Korunma
Cisco Talos, UAT-8837’nin Çin operasyonları ile bağlantılı olduğu konusunda orta düzeyde bir güven duyduğunu belirtmektedir. Saldırını analiz edenler, saldırganların kimlik bilgilerini hedef aldığını, Active Directory yapılarını ve güvenlik politikalarını incelediklerini ortaya koymuştur. Bu tür saldırılara karşı alınabilecek önlemler şunlardır:
- Güçlü ve benzersiz şifreler kullanarak kimlik bilgilerini koruyun.
- Güncel güvenlik yamalarını uygulayın ve sistemlerinizi düzenli olarak güncelleyin.
- RDP erişimini kısıtlayın ve gerekli olmadıkça kapatın.
- Ağ trafiğini sürekli izleyin ve olağan dışı etkinlikleri raporlayın.
- Güvenlik duvarı ve IDS/IPS sistemlerini etkin bir şekilde kullanın.
Sonuç
Kullanıcıların, sistemlerini güncellemeleri ve özellikle CVE-2025-53690 gibi bilinen zafiyetlere karşı savunma mekanizmalarını güçlendirmeleri kritik öneme sahiptir. Ayrıca, olası saldırgan aktivitelerini izlemek amacıyla port kapama ve erişim kontrol önlemlerini artırmaları önerilmektedir. Unutmayın, proaktif güvenlik önlemleri almak siber güvenliği sağlamak için hayati önem taşır.
