Rus bağlantılı siber tehdit aktörleri hangi hedeflere odaklanıyor? Bu saldırılar hangi yöntemlerle gerçekleştiriliyor? Saldırıların sonuçları neler? Microsoft 365 kullanıcıları bu tür saldırılardan nasıl korunabilir?
Rus bağlantılı siber tehdit aktörlerinin hedefleri
Son zamanlarda, Rusya bağlantılı siber tehdit aktörlerinin Ukrayna ile bağlantılı bireyler ve insan hakları savunucularını hedef aldığı gözlemlenmiştir. Bu saldırılar özellikle, 2025 yılının Mart ayından itibaren Microsoft 365 hesaplarına yetkisiz erişim sağlama amacı taşımaktadır. Bu tehdit grupları, siyasi ve sosyal mühendislik tekniklerini birleştirerek saldırılarda bulunuyorlar. Hedeflenen bireyler, oftan düşük riskli görülen ama etkili yöntemlerle cezbedilmekte ve hedef alınmaktadırlar.
Saldırı yöntemleri ve teknikleri
Bu saldırıların temelinde sosyal mühendislik yer almaktadır. Tehdit aktörleri, hedefleriyle birebir iletişime geçerek, onlardan MS OAuth kodu gibi bilgileri paylaşmalarını sağlamaya çalışmaktadır. Volexity’ye göre, bu saldırılarda daha önce kullanılan cihaz kodu phishing tekniğinden farklı olarak, daha temkinli ve hedef odaklı bir yaklaşım benimsenmiştir. Hedefler, video görüşmeler veya toplantılar için teklifle karşılaşmakta; bu teklifleri sahte Avrupa politikacılarından sözde davetler alarak almaktadırlar.
Saldırıların aşamaları
Saldırılar, ilk aşamada hedeflere özel mesajların gönderilmesi ile başlar. Hedefe ya WhatsApp ya da Signal gibi mesajlaşma uygulamaları üzerinden ulaşılır ve onları bir video toplantısına katılmaları veya özel bir etkinliğe kaydolmaları için davet edilir. Bu süreçte, hedeflerin tıklamaları istenen bağlantılar genellikle Microsoft 365 altyapısına yönlendirilir. Videonun davet edilmesinin ardından, aslında bir toplantı için gerekli olan bilgiler, örnek bir belgede sunulmakta ve hedefe Microsoft 365’in resmi giriş portalına yönlendiren bir bağlantı gönderilmektedir.
OAuth kodu hırsızlığı ve bunun sonuçları
Saldırının devamında, tehdit aktörleri sahte belgelerle hedefleri ikna eder ve Microsoft 365’ten alınan OAuth yetkilendirme kodunu paylaşmalarını sağlamak için çeşitli hileler kullanır. Hedefe, Microsoft OAuth 2.0 yetkilendirme akışında bir token görüntüleyecekleri yönünde bir bağlantı verilir. Eğer kurban bu kodu paylaşıyorsa, dolaylı yoldan çok büyük bir tehdit altındadır. Bunun sonucunda saldırgan, hedefine ait Microsoft 365 hesabına erişim sağlayabilecek bir erişim token’ı üretebilmektedir.
Tehditlerin hedefe ulaşma yolları
Bir başka öne çıkan tehdit aktörü grubu olan UTA0355 ise, önceden ele geçirilmiş bir Ukrayna Hükümeti e-posta hesabı kullanarak hedeflere oltalama e-postaları göndermekte ve ardından mesajlaşma yoluyla daha başka taleplerde bulunmaktadır. Buradaki hedef, yine aynı Microsoft 365 yetkilendirme API’sini kullanarak kurbanın e-posta verilerine erişim sağlayarak kötü niyetli bir işlemi gerçekleştirmektedir. Ancak bu durumda çalınan OAuth yetkilendirme kodu, kurbanın Microsoft Entra ID’sinde (eski adıyla Azure Active Directory) yeni bir cihaz kaydetme amacıyla kullanılmaktadır.
Kurumsal koruma yöntemleri
Kuruluşların bu tür saldırılardan korunmak için alabileceği önlemler arasında, yeni kayıtlı cihazların denetlenmesi, kullanıcılara istenmeyen iletişimlerin riskleri hakkında eğitim verilmesi ve yalnızca onaylı veya yönetilen cihazlardan kurumsal kaynaklara erişimi kısıtlayan koşullu erişim politikalarının uygulanması Yer almaktadır. Bu yöntemler, tehditleri önlemede ve tespit etmede önemli rol oynamaktadır.
Bu son dönemlerdeki saldırılar, tüm etkileşimlerin Microsoft’un resmi altyapısı üzerinde gerçekleştiği için daha da tehlikeli hale gelmektedir. Bu, saldırının tespit edilmesini ve önlenmesini oldukça zorlaştırmaktadır. Diğer bir önemli nokta da, bu saldırıların kötü niyetli OAuth uygulamaları kullanmadan gerçekleştirilmesi, yani kullanıcıların bu uygulamalara erişim izni vermesine gerek kalmamasıdır.
Sonuç olarak, bu tür saldırılara karşı bireylerin ve kurumların dikkatli olması, düzenli eğitimler alması ve Microsoft gibi büyük platformların sağladığı güvenlik önlemlerini etkin bir şekilde kullanması son derece önemlidir. Siber saldırılar, günümüzdeki dijitalleşme ile birlikte daha karmaşık ve tehlikeli hale gelmekte; bu da önümüzdeki dönemlerde daha fazla siber güvenlik önlemi alınmasını zorunlu kılmaktadır.
