Storm-2657’nin Tehdit Stratejileri
Son dönemlerde siber güvenlik alanında önemli bir gelişme yaşandı. Storm-2657 adlı bir tehdit aktörünün, özellikle yüksek öğrenim sektörü gibi belirli alanlarda çalışanları hedef alarak çalışan hesaplarını ele geçirdiği bildirildi. Bu tehdit aktörleri, ele geçirdikleri hesaplar üzerinden maaş ödemelerini kendi kontrolündeki hesaplara yönlendirmeyi amaçlamaktadır.
Microsoft’un Tehdit İstihbaratı ekibinin yayımladığı rapora göre, bu siber saldırılar, Amerika Birleşik Devletleri’ndeki çeşitli organizasyonlara yönelik gerçekleştirilmekte ve özellikle İK yazılımları için hizmet veren platformları hedef almaktadır. Bunların arasında Workday gibi çok sayıda SaaS (Software as a Service) platformu bulunmaktadır. Ancak dikkat edilmesi gereken önemli bir nokta, bu saldırıların hedef aldıkları yazılımlardaki güvenlik açıklarından yararlanmıyor olmalarıdır.
Sosyal Mühendislik ve MFA Eksikliğinin Rolü
Storm-2657’nin saldırıları, başlıca iki ana unsur üzerinden şekillenmektedir: sosyal mühendislik taktikleri ve çok faktörlü kimlik doğrulama (MFA) eksiklikleri. Tehdit aktörleri, çalışanların hesaplarını ele geçirmek için bu zayıflıklardan yararlanarak, kimlik bilgilerini elde etmeyi ve böylelikle ödeme bilgilerinin değiştirilmesini sağlamaktadır.
2025’in ilk yarısında, Microsoft bir kampanya gözlemledi. Bu kampanya çerçevesinde, saldırganların phishing e-postaları kullanarak kurbanların kimlik bilgilerini ve MFA kodlarını topladığı belirlendi. Adversary-in-the-middle (AitM) phishing bağlantıları aracılığıyla Exchange Online hesaplarına ulaştıkları ve tek oturum açma (SSO) yöntemiyle Workday profillerini ele geçirdikleri tespit edildi.
Inbox Kuralları ve Gizli Değişiklikler
Tehdit aktörleri, ele geçirdikleri hesaplarda gelen uyarı e-postalarını silmek için kendi inbox kurallarını oluşturmuşlardır. Bu sayede, Workday’deki yetkisiz değişiklikleri gizleyerek, maaş ödemelerini kontrol ettikleri hesaplara yönlendirmişlerdir. Ayrıca, bu tür taktikler kalıcı erişim sağlamak amacıyla yapılmaktadır. Saldırganlar, hedef hesaplarda kendi telefon numaralarını MFA cihazı olarak kaydetmektedir.
Farklı Hedefler ve Genişlemekte Olan Etki
Saldırganların, ele geçirdikleri e-posta hesaplarını kullanarak yeni phishing e-postaları dağıttığı da gözlemlenmiştir. Bu e-postalar, hem aynı organizasyon içinde hem de diğer üniversitelere yönlendirilmiştir. Microsoft, 2025 Mart ayından bu yana 3 üniversiteden 11 hesabın başarılı bir şekilde ele geçirildiğini ve bu hesaplardan yaklaşık 6,000 e-posta adresine saldırı gerçekleştirildiğini belirtmiştir. Bu e-postalar, kampüs içindeki sağlık sorunları veya genel durum bildirimleri gibi konular üzerinden alıcıları kandırarak sahte linklere tıklamaya itmektedir.
Güvenlik Önlemleri ve Öneriler
Storm-2657’nin bu tür saldırılarından korunmanın yolu, güçlü güvenlik önlemleri almaktan geçmektedir. Özellikle şifrelenmemiş ve phishing’e karşı dayanıklı MFA yöntemleri, örneğin FIDO2 güvenlik anahtarları gibi çözümlerle güçlü bir savunma oluşturulmalıdır. Ayrıca, hesaplarda şüpheli faaliyetlerin tespitine yönelik düzenli kontroller yapılması da önem arz etmektedir. Bilinmeyen MFA cihazlarının veya kötü niyetli inbox kurallarının varlığı, potansiyel bir tehlikenin sinyali olabilir.
Kurumlar, çalışanlarına yönelik bilinçlendirme dersleri düzenleyerek sosyal mühendislik saldırılarına karşı farkındalığı artırmalıdır. Saldırıların önlenmesi, yalnızca teknolojik önlemlerle değil, aynı zamanda insan faktörünün de göz önünde bulundurulmasıyla mümkündür. Eğitimler, çalışanların bu tür saldırılarla daha iyi başa çıkmalarını sağlayacak ve dolayısıyla siber güvenlik açıdan büyük bir avantaj sunacaktır.
Bu tür tehditlerin artış göstermesi, sadece belirli bir sektörü değil, genel olarak tüm organizasyonları etkilemektedir. Storm-2657 ve benzeri tehdit aktörlerinin gelişmesi, siber güvenliğin önemini bir kat daha artırıyor. Kurumlar, bu tehditlerle başa çıkmak için proaktif bir yaklaşım benimsemeli ve güvenlik stratejilerini sürekli olarak güncellemeli ve geliştirmelidir.
