Gizli Falcon: Yeni Bir Siber Tehdit Grubu
Son dönemlerde siber güvenlik alanında dikkat çeken ve endişe yaratan gelişmelerden biri, Stealth Falcon isimli APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) grubunun faaliyetleridir. Bu grup, Mart 2025 itibarıyla Türkiye, Katar, Mısır ve Yemen’deki askeri ve hükümet kuruluşlarına yönelik siber casusluk saldırıları gerçekleştirmiştir. Stealth Falcon, aynı zamanda FruityArmor olarak da bilinir ve Orta Doğu’daki kuruluşları hedef almasıyla tanınmaktadır.
CVE-2025-33053 Açığı ve Etkileri
Stealth Falcon’ın kullandığı saldırı vektörü, CVE-2025-33053 olarak bilinen bir uzaktan kod yürütme (RCE) açığıdır. Bu açık, belirli sistem yürütme dosyaları tarafından çalışma dizininin yanlış yönetilmesi nedeniyle ortaya çıkmaktadır. Özellikle, bir .url dosyasının çalışma dizinini uzak bir WebDAV yoluna ayarlaması durumunda, yerleşik bir Windows aracı kötü niyetli bir yürütülebilir dosyayı hedeflenen uzaktan konumdan çalıştırabilir.
Bu durum, saldırganların kötü niyetli dosyaları yerel olarak bırakmadan, kendi kontrolü altındaki WebDAV sunucularından rastgele kod yürütmelerine olanak tanır. Bu da operasyonlarını gizli ve kaçıcı hale getirir.
Saldırı Detayları ve Yöntemleri
Check Point Research tarafından yapılan bir araştırma, bu açığın yanlış yönlendirilmiş bir dosya aracılığıyla kullanıldığını ortaya koymuştur. Saldırganlar, hedeflere phishing (oltalama) e-postalarıyla sahte bir PDF dosyası olarak gizlenmiş .url dosyaları göndermiştir. Bu dosya, saldırganın WebDAV sunucusuna işaret eden bir URL içerir.
Saldırının başlangıcı, iediagcmd.exe adındaki meşru bir Internet Explorer tanılama aracının çalıştırılmasını içerir. Bu araç, ağ sorunlarını giderme amacıyla çeşitli tanılama komutlarını başlatır. Ancak açığın istismar yolu, Windows’un bu tanılama araçlarını bulma ve çalıştırma biçimidir.
Horus Loader ve Horus Agent
Saldırı sırasında iediagcmd.exe çalıştırıldığında, Windows tanılama programları .NET Process.Start() fonksiyonu ile başlatılmaktadır. Bu fonksiyon, öncelikle uygulamanın mevcut çalışma dizininde programı arar, ardından Windows sistem dizinleri, örneğin System32’de arayışına devam eder.
Bu durumda, kötü niyetli .url dosyası, çalışma dizinini saldırganın WebDAV sunucusuna ayarlayarak, iediagcmd.exe aracını uzaktan çalıştırabilen sahte bir route.exe programını devreye sokar. Bu da, özel bir çok aşamalı yükleyici olan Horus Loader‘ın yüklenmesine yol açar.
Horus Loader, daha sonra ana yük olan Horus Agent‘ı indirir. Horus Agent, komut yürütme, sistem parmak izi alma, yapılandırma değişiklikleri, shellcode enjeksiyonu ve dosya işlemleri gibi işlemleri destekleyen özel bir C++ Mythic C2 implantıdır.
Stealth Falcon’ın Evrimi
Check Point, Stealth Falcon grubunun siber tehditler arasındaki evrimini de vurgular. 2012’den beri aktif olan bu grup, başlangıçta özel Apollo ajanları kullanmaktayken, en son Horus araçları daha gelişmiş, kaçıcı ve modüler bir yapı sunmaktadır. Bu durum, operasyonel gizlilik ve esneklik sağlamakta, dolayısıyla saldırıların daha etkili olmasına yardımcı olmaktadır.
Öneriler ve Önlemler
Check Point, CVE-2025-33053 açığının siber casusluk operasyonlarında aktif bir şekilde kullanıldığını göz önünde bulundurarak, kritik organizasyonların en son Windows güncellemelerini bir an önce uygulamalarını önermektedir. Eğer güncellemeleri gerçekleştirmek mümkün değilse, WebDAV trafiğini izlemek ve bilinmeyen uç noktalar için şüpheli outbound bağlantıları engellemek gerekmektedir.
Sonuç olarak, Stealth Falcon gibi grupların artan saldırı gücü, siber güvenliğin her zamankinden daha önemli olduğunu göstermektedir. Organizasyonların, bu tür tehditlere karşı hazırlıklı olması ve güncel önlemler almaları büyük önem taşımaktadır.
