Son yıllarda Güney, Güneydoğu ve Doğu Asya’da yer alan yüksek değerli kuruluşlar, bir Çinli tehdit aktörü tarafından hedef alınmıştır. Palo Alto Networks’ün Unit 42 birimi, bu faaliyetleri daha önce belgelenmemiş bir tehdit grubu olan CL-UNK-1068 ile ilişkilendirmiştir; burada “CL” küme anlamına gelirken “UNK” bilinmeyen bir motivasyonu temsil etmektedir.

Saldırı Nasıl Çalışıyor?

Tehdit aktörlerinin kullandığı araçlar hem Windows hem de Linux ortamlarına yönelik tasarlanmıştır. Bu grupta kullanılan başlıca araçlar arasında şunlar bulunmaktadır:

• Godzilla – Web shell işlevi gören bir araç.
• ANTSWORD – Yine bir web shell olarak kullanılan başka bir araç.
• Xnote – Bir Linux arka kapısı; 2015 yılından beri tespit edilmiştir.
• Fast Reverse Proxy (FRP) – Sürekli erişim sağlamak için kullanılır.

Bu araçlar, çeşitli Çinli hacking grupları tarafından daha önce de kullanılmaktaydı ve siber casusluk amacı taşıdığı değerlendirilmekteydi.

Etkilenen Sistemler

CL-UNK-1068’in saldırı zincirleri genellikle şu adımları içermektedir:

1. Web sunucularının istismar edilmesi.
2. Web shell’lerin kullanılması ve diğer sistemlere lateral hareket.
3. Aşağıdaki dosya türlerinin çalınması:
– “web.config”, “.aspx”, “.asmx”, “.asax” ve “.dll” dosyaları.
– Web tarayıcı geçmişi ve yer işaretleri.
– XLSX ve CSV dosyaları.
– MS-SQL sunucularından yedek (.bak) dosyaları.

Saldırıların ilginç bir yönü, tehdit aktörlerinin WinRAR kullanarak ilgili dosyaları arşivlemeleri ve bunları Base64 kodlama ile ekrana basmalarıdır.

Çözüm ve Korunma

Tehdit aktörlerinin dosyaları doğrudan yüklemeden veri sızdırma yöntemleri kullanması, firmaların güvenlik önlemlerini artırması gerektiğini göstermektedir. Bu bağlamda, önerilen önlemler şunlardır:

• Güvenlik yazılımlarını güncel tutmak.
• Portları kapatmak ve gereksiz hizmetleri devre dışı bırakmak.
• Yalnızca güvenilir yazılımlar ve araçlar kullanmak.
• Şifreleme ve data kaybı önleme (DLP) çözümleri uygulamak.

Güvenlik analistleri, sürekçi bir tehdit oluşumuna karşı dikkatli olmalı ve tespit sistemlerini sürekli olarak gözden geçirmelidir.

Son olarak, bu faaliyetlerin mevcudiyetine karşı, organizasyonların güvenlik stratejilerinde güncellemeler yapılması ve güvenlik duvarlarının sıkı bir şekilde yapılandırılması önerilmektedir.

Anthropic, yapay zeka alanında önemli bir oyuncu olarak, yeni bir teknik direktör ile yoluna devam ediyor. Rahul Patil, daha önce Stripe’ın teknik direktörü olarak görev yapmışken, bu hafta itibarıyla Anthropic’teki yeni görevine başladı. Patil, şirketin kurucu ortaklarından Sam McCandlish‘in yerine geçiyor. McCandlish, yeni bir pozisyonda baş mimar olarak çalışmaya devam edecek.

Teknik Yapıda Yapılan Değişiklikler

Yeni liderlik yapısıyla birlikte Anthropic, temel teknik grubunun yapısını güncelleyerek ürün mühendisliği ekibini, altyapı ve çıkarım (inference) ekipleriyle daha yakın bir uyum içine sokmayı hedefliyor. Patil, CTO olarak hesaplama, altyapı, çıkarım ve diğer mühendislik görevlerini denetleyecek. McCandlish’in baş mimar rolü ise, ön eğitim ve büyük ölçekli model eğitimi üzerinde çalışmalarını sürdüreceği bir alan olacak. Hem Patil hem de McCandlish, Anthropic’in başkanı Daniela Amodei’ye rapor verecek.

Pazar Rekabeti ve Altyapı Zorlukları

Bu yeni liderlik yapısı, Anthropic’in OpenAI ve Meta gibi AI laboratuvarlarından gelen yoğun altyapı rekabeti ile karşı karşıya kaldığı bir dönemde oluşturulmuştur. Mark Zuckerberg, Meta’nın 2028 yılına kadar ABD altyapısına toplamda 600 milyar dolar harcayacağını belirtmişti. Benzer şekilde, OpenAI, Oracle ile işbirliği yaparak önemli bir altyapı yatırımı gerçekleştirmektedir. Anthropic’in altyapı harcama ölçeği net olmasa da, hız ve enerji tüketimi anlamında büyüyen altyapıyı optimize etme konusunda büyük bir baskı altında olacağı aşikar.

Aynı zamanda, Anthropic’in Claude ürünlerinin popülaritesi, şirketin altyapısı üzerinde büyük bir baskı oluşturmuştur. Temmuz ayında, şirket, sürekli olarak arka planda çalışan yoğun kullanıcılar için Claude Code‘da yeni oran kısıtlamaları getirerek altyapı üzerindeki baskıyı hafifletmeyi amaçladı. Artık kullanıcılar, haftada 240 ila 480 saat Sonnet kullanımı ve 24 ila 40 saat Opus 4 kullanımı ile sınırlıdır; bu kısıtlamalar, altyapı üzerindeki strain’e bağlı olarak değişkenlik göstermektedir.

Rahul Patil’ın Deneyimi ve Vizyonu

Yirmi yılı aşkın bir süredir farklı mühendislik rollerinde görev alan Rahul Patil, Anthropic’e önemli bir altyapı deneyimi ile gelmektedir. Daha önce Stripe’ta beş yıl boyunca teknik roller üstlenmiş, ardından Oracle’da bulut altyapısının kıdemli başkan yardımcılığı görevini yürütmüştür. Ayrıca Amazon ve Microsoft’ta mühendislik rollerinde de bulunmuştur.

Anthropic Başkanı Daniela Amodei, Patil’in kurumsal altyapı inşasındaki deneyimini vurguladı. Amodei, “Rahul, işletmelerin ihtiyaç duyduğu güvenilir altyapıyı inşa etme ve ölçekleme konusundaki kanıtlanmış bir geçmişe sahip,” ifadelerini kullandı. “Claude’un işletmeler için en öncü zeka platformu olarak güçlenmesi açısından bu durumun nasıl bir anlam ifade edeceğinden daha fazla heyecan duyuyorum.”

Patil ise Anthropic’in araştırma ve AI güvenliği konusundaki kararlılığını övgüyle karşıladı. “AI gelişiminde bu kritik dönemde Anthropic’e katıldığım için çok heyecanlıyım,” diyen Patil, şirketin çalışanı olmanın kendisi için “yapılabilecek en önemli çalışmalar”dan biri olduğunu dile getirdi. “Ben şahsen, bu alanda büyük bir çağrı ve sorumluluk düşünüyorum,” şeklinde devam etti.

Gelecek Beklentileri ve Stratejiler

Rahul Patil, Anthropic’le birlikte geleceğe yönelik olarak altyapı ve mühendislik alanındaki yenilikçi çözümler geliştirecek. Şirketin, rekabetçi pazarda ayakta kalabilmesi için hızlı ve etkili girişimler gerçekleştireceği öngörülüyor. Altyapıdaki optimizasyonlar sayesinde daha yüksek raporlama ve daha düşük enerji tüketimi sağlayarak, sürdürülebilir bir büyüme hedefleniyor.

Bu gelişmeler, Anthropic’in yapay zeka alanındaki stratejilerini güçlendirecek ve müşterilerine daha iyi hizmet sunmasını sağlayacaktır. Patil’in deneyimi, şirketin mevcut altyapı zorluklarını aşmasında ve büyüyen talebe yanıt vermesinde kritik bir rol oynaması bekleniyor. İş dünyasındaki uygulamaların artmasıyla birlikte, Anthropic’in Claude platformunun daha fazla entegrasyon ve kullanım olanağına sahip olması sağlanacaktır.

Yenilikçilik ve sürdürülebilirlik ilkelerini benimseyen Anthropic, Rahul Patil liderliğinde daha sağlam bir altyapı ile pazardaki pozisyonunu güçlendirerek, gelecekteki projelere odaklanacaktır.

Güncel Teknoloji Haberleri – 1

Son yıllarda siber suçlar, özellikle ransomware saldırıları, dünya genelinde büyük bir endişe kaynağı haline geldi. Bu bağlamda, Scattered Spider olarak bilinen savaşçı grubu, VMware ESXi hipervizörlerini hedefleyen yenilikçi ve karmaşık saldırılar düzenlemekte. Kuzey Amerika‘da özellikle perakende, havayolu ve ulaşım sektörlerine yönelik bu saldırılar, siber güvenliği tehdit eden yeni bir boyut kazandırıyor.

Saldırıların Stratejisi: Sosyal Mühendislik ve Hedefli Operasyonlar

Google’ın Mandiant ekibinin detaylı analizine göre, Scattered Spider’ın kullandığı yöntemler, yazılım açıklarına dayanmak yerine kanıtlanmış bir oyun kitabına dayanmaktadır. Bu gruptaki aktörler, agresif, yaratıcı ve sosyal mühendislikte oldukça yetenekli. Olumsuz durumlarla karşılaşmadan geçerli güvenlik programları tarafından geçilebilen tasarımlar üzerinde çalışmakta. Bunun nedeni, bu gruptaki saldırıların rastgele olmaktan ziyade, belirli bir hedefe odaklanan operasyonlar olmasıdır.

Scattered Spider, zaman zaman 0ktapus, Muddled Libra, Octo Tempest ve UNC3944 gibi isimlerle de anılmakta. Bu gruptaki siber suçlular, hedeflerin sistemlerine erişim sağlamak için gelişmiş sosyal mühendislik taktikleri kullanmakta ve ardından yönetim sistemlerine sızmayı başarmaktadır. Active Directory kontrolü elde edildiğinde, VMware vSphere ortamına geçiş yaparak, veri sızıntısı ve ransomware dağıtımı için etkili bir yol haritası sunmaktadırlar.

Saldırı Zinciri: Beş Aşama

Scattered Spider’ın saldırı zinciri beş belirgin aşamadan oluşmakta:

1. İlk Sızma: İlk olarak, tüm gerekli bilgilere ulaşmak için hedef kurumun IT dokümanları, destek kılavuzları ve organizasyon şemaları gibi bilgilere erişirler. Bu aşamada, hedefledikleri yüksek değerli yönetici şahsiyetin kimliğini taklit ederek parola sıfırlama talebinde bulunmak için IT yardım masasıyla iletişime geçerler.

2. Sanal Ortama Geçiş: Scattered Spider, Active Directory ile ilişkili olan vSphere kimlik bilgilerini kullanarak VMware vCenter Server Appliance (vCSA) erişimi kazanır. Bu aşamada, kalıcı ve şifreli bir ters shell oluşturulmakta, böylece güvenlik duvarı kurallarını aşacak bir geçiş sağlanmaktadır.

3. SSH Bağlantılarının Etkinleştirilmesi: ESXi sunucularında SSH bağlantıları aktive edilmekte ve kök parolaları sıfırlanmakta. Bu, NTDS.dit Active Directory veritabanını almak için uygulanan “disk-swap” saldırısının gerçekleştirilmesiyle sonuçlanmaktadır. Bu süreçte, bir Domain Controller sanal makinesi kapatılmakta ve diski kontrol altında olan başka bir VM’ye bağlanmaktadır.

4. Yedeklemelerin Bozulması: Elde edilen erişim ile yedek alma işlerinin, anlık görüntülerin ve yedekleme havuzlarının silinmesi yoluyla kurtarma imkanları engellenmektedir.

5. Ransomware Dağıtımı: Geçmişte elde edilen SSH erişimini kullanarak kendi ransomware binary’lerini ortamda (SCP/SFTP üzerinden) yaymakta.

Aşırı Hız ve Gizlilik: Ransomware Saldırılarının Özellikleri

Google’a göre, UNC3944’ün kullandığı yöntemlerin savunma stratejileri açısından köklü bir değişim gerektirdiği belirtiliyor. Geleneksel Windows ransomware saldırılarından farklı olarak, bu saldırıların iki belirgin özelliği bulunmaktadır: hız ve gizlilik. Bu tür saldırıların toplam süreci, saldırganların ilk erişiminden veri sızıntısına ve nihai ransomware dağıtımına kadar birkaç saat içerisinde gerçekleşebilmektedir.

Palo Alto Networks’ın Unit 42 raporuna göre, Scattered Spider, sadece sosyal mühendislikteki becerileriyle değil, aynı zamanda DragonForce (kısaca Slippery Scorpius) ransomware programı ile de iş birliği yaparak, iki günlük bir süreçte 100 GB’tan fazla veriyi dışarıya aktarabilen bir yapıdadır.

Önerilen Koruma Katmanları

Böyle tehditlerle başa çıkmak için kuruluşların üç katmanlı koruma stratejileri geliştirmeleri önerilmektedir:

• vSphere kilitleme modu etkinleştirilmeli, execInstalledOnly uygulanmalı ve vSphere VM şifrelemesi kullanılmalıdır. Eski sanal makineler devre dışı bırakılmalı ve IT yardım masası güçlendirilmelidir.
• Phishing-e karşı dayanıklı çok faktörlü kimlik doğrulama (MFA) uygulamakta, kritik kimlik altyapısını izole etmekte ve kimlik doğrulama döngülerinden kaçınılmalıdır.
• Anahtar loglar merkezi hale getirilmeli, yedeklemeler üretim Active Directory’den izole edilmeli ve sahtecilik yapılmış bir yöneticiden erişime kapatılmalıdır.

Bu tür stratejiler, siber güvenlik altyapısını güçlendirecek ve olası saldırılara karşı organizasyonları koruyacaktır.

Güncel Siber Güvenlik Haberleri – 1

Son yıllarda, siber casusluk dünya genelinde önemli bir sorun haline geldi. Özellikle Çin ile bağlantılı olarak tanımlanan APT41 grubu, bu alandaki en dikkat çekici aktörlerden biri olarak öne çıkıyor. Kaspersky Lab tarafından yapılan bir araştırmaya göre, bu grup, Afrika bölgesindeki hükümetin IT hizmetlerini hedef alan yeni bir kampanya başlattı. Bu saldırıların, çoğu sektörde faaliyet gösteren kuruluşlara odaklandığı ve özellikle Afrika’da daha önce düşük etkinlik gösteren bir saldırı modeli ortaya koyduğu bildirilmektedir.

Hedefler ve Saldırı Metodolojisi

APT41’nin en dikkat çekici yönlerinden biri, çok çeşitli sektörleri hedef almasıdır. Bu gruptan gelen saldırılar, telekom, enerji sağlama, sağlık organizasyonları ve IT enerji şirketleri gibi alanları kapsamaktadır. Kaspersky’nin araştırma ekibi, “Saldırganlar, malware’lerinde hardcoded isimler, IP adresleri ve proxy sunucular kullanarak iç hizmetlerin denetimini yaptı” açıklamasında bulundu. Özellikle, bir C2 (komut ve kontrol) sunucusunun, saldırının başlangıcı olan kurban organizasyonunun altyapısında yer alan bir SharePoint sunucusu olduğu tespit edilmiştir.

Saldırının Tanımlanması ve İlk Adımlar

Kaspersky’nin durumu keşfetmesinin ardından, “şüpheli aktiviteleri” içeren çok sayıda iş istasyonunda inceleme başlatılmıştır. Saldırganlar, hedef organizasyon içerisindeki C2 sunucusunun durumunu kontrol etmek için komutlar çalıştırarak faaliyet göstermeye başlamışlardır. Şüpheli aktivitelerin kaynağı, izlenmeyen bir host olduğu ortaya çıkmıştır. Araştırmacılar, “Bu host, bir hizmet hesabı bağlamında ele geçirilmişti” şeklinde açıklama yapmıştır.

Bu süreçte, saldırganlar, yetki yükseltme ve yan hareket sağlamak amacıyla, ayrıcalıklı hesaplarla ilişkili kimlik bilgilerini toplama aşamasına geçmiştir. Sonuç olarak, Cobalt Strike kullanarak saldırganlar, C2 iletişimi için dll yan yüklemesi gerçekleştirmiştir.

Malicious DLL ve Hizmet Kullanımı

Saldırının gerçekleştirilme aşamasında, kötü amaçlı dll’ler, kurulu dil paketlerini kontrol eden bir kontrol mekanizması içerir ve belirli dil paketleri tespit edilmediği takdirde çalıştırma işlemini gerçekleştirir. Kullanılan hizmetler arasında hacklenmiş bir SharePoint sunucusu yer almakta ve bu sunucu komut gönderimleri için kullanılmaktadır. Saldırganlar, agents.exe ve agentx.exe adlı dosyaları SMB protokolü aracılığıyla herkese açık sunucu ile iletişim kurmak amacıyla dağıtmaktadır.

Kaspersky’nin raporuna göre, “Bu dosyaların her biri, SharePoint sunucusuna yüklenen bir C# trojanı olup, aldığı komutları çalıştırma işlevine sahiptir.” Bu durum, saldırganların güvenilir servisleri nasıl istismar ettiklerini gözler önüne sermektedir. Kısaca, normalde güvenilir olan sistemlerin suç teşkil eden faaliyetler için kullanılmasındaki artış dikkat çekicidir.

Saldırıların Sonrası ve Veri Hırsızlığı

Saldırganların, ilk keşiften sonra değerli olarak nitelendirdikleri makinelerde yeniden faaliyet gösterdikleri tespit edilmiştir. Bu süreçte, cmd.exe komutunu kullanarak dış kaynaklardan kötü amaçlı HTML Uygulama dosyalarını indirmiş ve bu dosyaları çalıştırarak sistem üzerinde komut yürütme imkanı sağlamışlardır. Girişimlerini gizlemek adına, GitHub’ı taklit eden bir alan adı kullanılmıştır.

Kuruluşların veri güvenliği için endişe yaratan bir diğer faktör ise, hırsızlık ve kimlik bilgisi toplayıcı araçların kullanılmasıdır. Bu araçlar sayesinde saldırganlar, hassas bilgileri toplayabiliyor ve verileri SharePoint sunucusu aracılığıyla dışarıya aktarabiliyor. Kaspersky’nin vurguladığına göre, “Saldırganlar hem özel hem de kamuya açık araçları kullanarak geniş bir yelpazede saldırı yöntemleri izliyor.”

Sonuç ve Gelecek Tehditler

APT41’in saldırı yöntemleri, tamamen kendi geliştirdikleri ve mevcut araçların bir karışımını kullanarak hemuzman ekipler için tespit edilmesini zorlaştırmaktadır. Bu durum, güvenlik ekiplerinin Windows ortamlarında yan hareket, kimlik bilgisi erişimi ve savunma ihtiyacı konularında zorluklar yaşamasına yol açmaktadır. Gelecekte bu tür siber tehditlerin daha da yaygınlaşması ve çeşitlenmesi muhtemel görünmektedir. Bu nedenle, hem bireylerin hem de kuruluşların sağlıklı bir güvenlik politikası geliştirmesi kritik bir önem taşımaktadır.

Güncel Siber Güvenlik Haberleri – 1