Microsoft SharePoint Sunucularına Yönelik Artan Tehditler
Microsoft SharePoint, işletmelerin veri yönetimi ve işbirliği süreçlerini kolaylaştıran önemli bir platformdur. Ancak, bu platform son dönemde güvenlik açıkları ve siber saldırılar nedeniyle ciddi tehditlerle karşı karşıya kalmıştır. Özellikle, Storm-2603 olarak bilinen bir siber suç grubu, SharePoint’in güvenlik açıklarını kullanarak Warlock ve LockBit Black gibi fidye yazılımlarını yayma faaliyetlerine hız vermiştir. Bu durum, hem bireysel kullanıcıları hem de büyük işletmeleri tehdit etmektedir.
AK47 C2 Framework’ü ve Kullanım Alanları
Storm-2603 grubu, siber saldırılarında AK47 C2 adını verdikleri özel bir komut ve kontrol (C2) çerçevesini kullanmaktadır. Bu yapı, HTTP ve DNS tabanlı iki farklı istemci türünü içermektedir. AK47HTTP ve AK47DNS olarak adlandırılan bu istemciler, saldırganların hedef sistemlerle etkileşim kurmasını sağlamaktadır. Ayrıca, bu çerçeve ile birlikte kullanılan bir arka kapı uygulaması olan dnsclient.exe, zararlı yazılımın kontrolünü sağlamak amacıyla DNS üzerinden komutlar alıp verebilmektedir.
Tehdit Grubunun Etkinlik Alanı
Elde edilen veriler, Storm-2603’ün en az Mart 2025‘ten beri aktif olduğunu göstermektedir. Grup, Latin Amerika ve APAC bölgelerindeki çeşitli kuruluşlara yönelik saldırılar gerçekleştirmiştir. Virüs Total tarafından toplanan veriler, bu grubun çalışma tarzının, diğer e-suç grupları ile karşılaştırıldığında farklılık gösterdiğini ortaya koymaktadır. Özellikle, hem Warlock hem de LockBit Black ransomware yazılımlarını aynı anda kullanmaları alışılmış bir davranış değildir.
Saldırı Araçları ve Bileşenler
Storm-2603, saldırılarını gerçekleştirmek için açık kaynaklı ve Windows tabanlı çeşitli araçlar kullanmaktadır. Bunlar arasında masscan, WinPcap ve PsExec gibi araçlar yer almaktadır. Ayrıca, grubun kullanmış olduğu özel bir arka kapı, hedef sistemlerde gizli komutlar yürütme yeteneğine sahiptir. Bu arka kapı, update.updatemicfosoft[.]com alan adı üzerinden kontrol sağlar.
Grup, aynı zamanda, bbb.msi gibi kurulum dosyaları ile zararlı DLL’lerin yüklenmesini sağlamakta ve bu yolla yapılan saldırıların etkinliğini artırmaktadır. 7z.exe ve 7z.dll gibi dosyalar da, Warlock’ı dağıtmak için kullanılmaktadır.
BYOVD Tekniği ve Savunma Önlemleri
Storm-2603’ün en dikkat çekici özelliklerinden biri, BIYOD (Bring Your Own Vulnerable Driver) tekniğini kullanarak güvenlik yazılımlarını devre dışı bırakmasıdır. Bu teknoloji, siber güvenlik önlemlerini aşmaya yönelik bir yöntemdir ve ServiceMouse.sys gibi üçüncü taraf sürücülerle entegre çalışarak güvenlik duvarlarını çiğnemektedir. Bu tür taktikler, siber güvenlik uzmanlarını zor durumda bırakmakta ve kurumsal güvenlik yapılarının yeniden gözden geçirilmesine neden olmaktadır.
Siber İstihbarat ve Gelecek Beklentileri
Storm-2603 grubunun motivasyonları kesin olarak bilinmemekle birlikte, devlet destekli siber saldırılarla bağlantılı olduğu düşünülmektedir. Çin, İran ve Kuzey Kore gibi ülkelerin siber suç gruplarının fidye yazılımlarını kullanarak ekonomik veya siyasî kazanç elde etme çabaları, Storm-2603’ün hareket tarzı ile örtüşmektedir. Ancak, grup yalnızca zarar verme amacında olabilir.
Siber güvenlik uzmanları, bu tür tehditleri etkili bir şekilde önlemek ve tespit etmek için sürekli olarak güncellenen stratejiler geliştirmelidir. Özellikle fidye yazılımlarının evrim geçirmesi ve gelişmiş yöntemlerin kullanılması, işletmelerin konuya daha fazla önem vermesini zorunlu kılmaktadır.
Eğitim ve Farkındalık
Sonuç olarak, siber güvenlik konusunda eğitim ve farkındalık artırmak, bu tür tehditlerin önüne geçmek için kritik öneme sahiptir. İşletmeler, çalışanlarını bu konuda eğitmekle kalmayıp, düzenli olarak güvenlik protokollerini gözden geçirmelidir. Saldırıların önlenmesi ve zararın en aza indirilmesi için çok katmanlı bir güvenlik yaklaşımı uygulanmalıdır.
