<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	xmlns:media="http://search.yahoo.com/mrss/"
>

<channel>
	<title>APT28in &#8211; Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri</title>
	<atom:link href="https://teknomers.com/tag/apt28in/feed/" rel="self" type="application/rss+xml" />
	<link>https://teknomers.com</link>
	<description>Güncel Spor &#124; Oyun &#124; Teknoloji &#124; Haberleri &#124; Bilimsel Gelişmeler &#124; Uzay &#124; Siber Güvenlik &#124; Blog Yazıları</description>
	<lastBuildDate>Mon, 23 Feb 2026 22:21:19 +0000</lastBuildDate>
	<language>tr</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0.2</generator>
	<item>
		<title>APT28&#8217;in Avrupa Hedeflerine Yönelik Acil Webhook Tabanlı Tehditleri</title>
		<link>https://teknomers.com/apt28in-avrupa-hedeflerine-yonelik-acil-webhook-tabanli-tehditleri/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Mon, 23 Feb 2026 22:21:07 +0000</pubDate>
				<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[Acil]]></category>
		<category><![CDATA[APT28in]]></category>
		<category><![CDATA[Avrupa]]></category>
		<category><![CDATA[hedeflerine]]></category>
		<category><![CDATA[tabanlı]]></category>
		<category><![CDATA[Tehditleri]]></category>
		<category><![CDATA[Webhook]]></category>
		<category><![CDATA[Yönelik]]></category>
		<guid isPermaLink="false">https://teknomers.com/apt28in-avrupa-hedeflerine-yonelik-acil-webhook-tabanli-tehditleri/</guid>

					<description><![CDATA[APT28&#8217;in Yeni Tehditi: Operation MacroMaze Rusya bağlantılı devlet destekli tehdit aktörü APT28, Batı ve Orta Avrupa&#8217;daki belirli kuruluşları hedef alan yeni bir kampanya ile dikkat çekiyor. Operation MacroMaze adını taşıyan bu saldırı, siber güvenlik alanında önemli bir risk oluşturmakta ve bu nedenle güvenlik uzmanlarının dikkatini çekmektedir. Saldırı Nasıl Çalışıyor? Operation MacroMaze, belirli bir yapı üzerinde [&#8230;]]]></description>
										<content:encoded><![CDATA[<h2>APT28&#8217;in Yeni Tehditi: Operation MacroMaze</h2>
<p>Rusya bağlantılı devlet destekli tehdit aktörü APT28, Batı ve Orta Avrupa&#8217;daki belirli kuruluşları hedef alan yeni bir kampanya ile dikkat çekiyor. <strong>Operation MacroMaze</strong> adını taşıyan bu saldırı, siber güvenlik alanında önemli bir risk oluşturmakta ve bu nedenle güvenlik uzmanlarının dikkatini çekmektedir.</p>
<h2>Saldırı Nasıl Çalışıyor?</h2>
<p>Operation MacroMaze, belirli bir yapı üzerinde kurulu saldırı zincirleri kullanarak gerçekleştirilmektedir. Saldırının detayları şu şekildedir:</p>
<ul>
<li>Saldırılar, spear-phishing (hedefli oltalama) e-postaları ile başlamakta.</li>
<li>Bu e-postalar, &#8220;INCLUDEPICTURE&#8221; adlı bir alan içeren XML yapısına dayanan tuzak belgeleri dağıtmaktadır. Bu alan, uzaktaki bir web sitesinden (webhook[.]site) bir JPG görüntüsüne işaret etmektedir.</li>
<li>Belge açıldığında, bu mekanizma bir &#8220;beacon&#8221; işlevi görerek dışa doğru bir HTTP isteği tetiklemektedir.</li>
</ul>
<p>Bu mekanizma ile sunucu operatörü, isteğin meta verilerini kaydedebilmekte ve belgenin gerçekten alıcı tarafından açıldığını doğrulayabilmektedir.</p>
<h2>Etkilenen Sistemler</h2>
<p>LAB52&#8217;nin tespitlerine göre, bu kampanya süresince (Eylül 2025 &#8211; Ocak 2026) birkaç belgede küçük değişikliklerle tekrarlanan makrolar kullanılmıştır. Bu makrolar, saldırganların hedef makinede bir zafiyet yaratmak için bir &#8220;dropper&#8221; işlevi görmektedir. </p>
<ul>
<li>Makro mantığı, her ne kadar tutarlı kalsa da, kaçınma tekniklerinde bir evrim göstermektedir.</li>
<li>Eski versiyonlar &#8216;headless&#8217; (görünmez) tarayıcı çalıştırmayı kullanırken, yeni versiyonlar, güvenlik uyarılarını atlatmak için tuş simülasyonu (SendKeys) kullanmaktadır.</li>
</ul>
<p>Makro, Visual Basic Script (VBScript) çalıştırarak enfeksiyonun sonraki aşamasına geçmektedir. Bu script, bir CMD dosyası çalıştırarak kalıcılığı sağlamakta ve HTML yükünün Microsoft Edge&#8217;de görünmez modda render edilmesini sağlamaktadır.</p>
<h2>Çözüm ve Korunma</h2>
<p>LAB52&#8217;nin açıkladığına göre, bu kampanyanın basitliği, saldırının etkinliğini artırmaktadır. Saldırgan, çok temel araçlar (batch dosyaları, küçük VBS başlatıcıları ve basit HTML) kullanmasına rağmen, bunları dikkatle düzenleyerek sızma ve veri sızıntısı süreçlerini gizlemektedir. </p>
<p>Önerilen önlemler aşağıdaki gibidir:</p>
<ul>
<li><strong>Güncellemeleri düzenli olarak kontrol edin:</strong> Yazılımlarınızı ve güvenlik çözümlerinizi güncel tutun.</li>
<li><strong>Güvenlik duvarını etkinleştirin:</strong> Dışa doğru gereksiz portları kapatın.</li>
<li><strong>Phishing Simülasyonları Yapın:</strong> Çalışanlarınızı potansiyel oltalama saldırılarına karşı eğitin.</li>
</ul>
<p>Sonuç olarak, sistemlerinizin güvenliğini sağlamak için düzenli güncellemeler yapmanız, gereksiz bağlantıları kapatmanız ve kullanıcı eğitimleri gerçekleştirmeniz kritik öneme sahiptir. Cyber tehditlere karşı sürekli tetikte olmalısınız.</p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://teknomers.com/wp-content/uploads/2026/02/APT28in-Avrupa-Hedeflerine-Yonelik-Acil-Webhook-Tabanli-Tehditleri.jpg" />	</item>
		<item>
		<title>Acil: APT28&#8217;in Enerji ve Politika Kuruluşlarını Hedef Alan Hırsızlık Kampanyası</title>
		<link>https://teknomers.com/acil-apt28in-enerji-ve-politika-kuruluslarini-hedef-alan-hirsizlik-kampanyasi/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Sat, 10 Jan 2026 23:21:22 +0000</pubDate>
				<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[Acil]]></category>
		<category><![CDATA[Alan]]></category>
		<category><![CDATA[APT28in]]></category>
		<category><![CDATA[Computer security]]></category>
		<category><![CDATA[cyber attacks]]></category>
		<category><![CDATA[cyber news]]></category>
		<category><![CDATA[cyber security news]]></category>
		<category><![CDATA[cyber security news today]]></category>
		<category><![CDATA[cyber security updates]]></category>
		<category><![CDATA[cyber updates]]></category>
		<category><![CDATA[data breach]]></category>
		<category><![CDATA[Enerji]]></category>
		<category><![CDATA[hacker news]]></category>
		<category><![CDATA[hacking news]]></category>
		<category><![CDATA[hedef]]></category>
		<category><![CDATA[Hırsızlık]]></category>
		<category><![CDATA[how to hack]]></category>
		<category><![CDATA[information security]]></category>
		<category><![CDATA[kampanyası]]></category>
		<category><![CDATA[Kuruluşlarını]]></category>
		<category><![CDATA[network security]]></category>
		<category><![CDATA[politika]]></category>
		<category><![CDATA[ransomware malware]]></category>
		<category><![CDATA[software vulnerability]]></category>
		<category><![CDATA[the hacker news]]></category>
		<guid isPermaLink="false">https://teknomers.com/acil-apt28in-enerji-ve-politika-kuruluslarini-hedef-alan-hirsizlik-kampanyasi/</guid>

					<description><![CDATA[Giriş Rusya destekli tehdit aktörleri, Türkiye&#8217;deki bir enerji ve nükleer araştırma ajansıyla, Avrupa&#8217;daki bir düşünce kuruluşu ve Kuzey Makedonya ile Özbekistan&#8217;daki organizasyonlarla bağlantılı bireyleri hedef alan yeni bir kimlik avı saldırısı gerçekleştirmiştir. Bu saldırıların, APT28 (BlueDelta) grubu tarafından gerçekleştirildiği belirlenmiştir ve siber güvenlikte önemli bir endişe kaynağı olmaktadır. Saldırı Nasıl Çalışıyor? Saldırılar, Ocak 2025&#8217;te CVE-2025-XXXX [&#8230;]]]></description>
										<content:encoded><![CDATA[<h2>Giriş</h2>
<p>Rusya destekli tehdit aktörleri, Türkiye&#8217;deki bir enerji ve nükleer araştırma ajansıyla, Avrupa&#8217;daki bir düşünce kuruluşu ve Kuzey Makedonya ile Özbekistan&#8217;daki organizasyonlarla bağlantılı bireyleri hedef alan yeni bir kimlik avı saldırısı gerçekleştirmiştir. Bu saldırıların, APT28 (BlueDelta) grubu tarafından gerçekleştirildiği belirlenmiştir ve siber güvenlikte önemli bir endişe kaynağı olmaktadır.</p>
<h2>Saldırı Nasıl Çalışıyor?</h2>
<p>Saldırılar, Ocak 2025&#8217;te <strong>CVE-2025-XXXX</strong> ve <strong>CVE-2025-YYYY</strong> referanslı kampanyalarla aynı dönemde gerçekleştirilmiştir. APT28, bu yeni saldırılarda kullanıcıları, Microsoft Outlook Web Erişimi (OWA), Google ve Sophos VPN alanında popüler hizmetlere benzeyen sahte giriş sayfalarına yönlendirmektedir. </p>
<ul>
<li>Saldırının başlangıcı, hedef bireylere gönderilen bir kimlik avı e-postasıyla başlar. Bu e-posta, tıklanıldığında kullanıcıları <strong>webhook[.]site</strong> üzerindeki sahte sayfaya yönlendirir.</li>
<li>Daha sonra, bu sayfa kullanıcılara sahte bir Microsoft OWA giriş sayfası sunarak, kimlik bilgilerini toplamaya çalışır.</li>
<li>Kullanıcılar kimlik bilgilerini girdiklerinde, bu veriler <strong>webhook endpoint</strong>’ine aktarılır, böylelikle tehlike algılanmaz.</li>
</ul>
<h2>Etkilenen Sistemler</h2>
<p>Yapılan saldırılarda kullanılan altyapı, aşağıdaki gibi hizmetlerden yararlanmaktadır:</p>
<ul>
<li><strong>Webhook[.]site</strong></li>
<li><strong>InfinityFree</strong></li>
<li><strong>Byet Internet Services</strong></li>
<li><strong>ngrok</strong></li>
</ul>
<p>Bu sistemler, sahte giriş sayfalarını barındırmakta ve çalınan verilerin aktarımını sağlamakta kullanılmaktadır. APT28 &#8220;BlueDelta&#8221; grubunun bu hizmetlerden yararlanarak kullanıcılardan bilgi toplama çabaları, siber güvenlik alanında önemli bir tehdit oluşturmaktadır.</p>
<h2>Çözüm ve Korunma</h2>
<p>Bu tehditlere karşı korunmak için aşağıdaki adımlar alınmalıdır:</p>
<ul>
<li>Şirketlerde e-posta güvenlik yöntemleri güçlendirilmelidir.</li>
<li>Kullanıcıların şifrelerini düzenli olarak değiştirmesi ve karmaşık şifreler kullanması teşvik edilmelidir.</li>
<li>Bir VPN veya güvenilir bir ağ üzerinden bağlantı sağlama gibi koruma önlemleri alınmalıdır.</li>
<li>Yetkisiz web sitelerine (örneğin webhook[.]site gibi) yönlendirilme ihtimali konusunda kullanıcılar bilgilendirilmelidir.</li>
</ul>
<h2>Sonuç</h2>
<p>Okuyuculara tavsiyemiz, yukarıda belirtilen güvenlik önlemlerini dikkate alarak sistemlerini güncellemeleri ve sahte içeriklere karşı daha dikkatli olmalarıdır. Ayrıca, güvenlik güncellemelerini ve yamalarını düzenli olarak uygulamayı unutmayınız. Bu önlemler, hedef olma riskinizi azaltacaktır.</p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://teknomers.com/wp-content/uploads/2026/01/Acil-APT28in-Enerji-ve-Politika-Kuruluslarini-Hedef-Alan-Hirsizlik-Kampanyasi.jpg" />	</item>
		<item>
		<title>APT28&#8217;in Ukrayna UKR-net Kullanıcılarına Yönelik Phishing Saldırıları</title>
		<link>https://teknomers.com/apt28in-ukrayna-ukr-net-kullanicilarina-yonelik-phishing-saldirilari/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Wed, 17 Dec 2025 16:31:30 +0000</pubDate>
				<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[APT28in]]></category>
		<category><![CDATA[Computer security]]></category>
		<category><![CDATA[cyber attacks]]></category>
		<category><![CDATA[cyber news]]></category>
		<category><![CDATA[cyber security news]]></category>
		<category><![CDATA[cyber security news today]]></category>
		<category><![CDATA[cyber security updates]]></category>
		<category><![CDATA[cyber updates]]></category>
		<category><![CDATA[data breach]]></category>
		<category><![CDATA[hacker news]]></category>
		<category><![CDATA[hacking news]]></category>
		<category><![CDATA[how to hack]]></category>
		<category><![CDATA[information security]]></category>
		<category><![CDATA[Kullanıcılarına]]></category>
		<category><![CDATA[network security]]></category>
		<category><![CDATA[Phishing]]></category>
		<category><![CDATA[ransomware malware]]></category>
		<category><![CDATA[Saldırıları]]></category>
		<category><![CDATA[software vulnerability]]></category>
		<category><![CDATA[the hacker news]]></category>
		<category><![CDATA[Ukrayna]]></category>
		<category><![CDATA[UKRnet]]></category>
		<category><![CDATA[Yönelik]]></category>
		<guid isPermaLink="false">https://teknomers.com/apt28in-ukrayna-ukr-net-kullanicilarina-yonelik-phishing-saldirilari/</guid>

					<description><![CDATA[Dec 17, 2025Email Security / Threat Intelligence APT28 ve UKR-net Kullanıcılarına Yönelik Tehditler Son dönemlerde dikkat çeken bir siber tehdit aktörü, Rusya destekli APT28 olarak bilinen grup. Bu grup, özellikle Ukrayna’nın popüler webmail ve haber servisi UKR[.]net kullanıcılarına yönelik uzun süreli bir kimlik avı kampanyası düzenlemektedir. Recorded Future’ın Insikt Grubu tarafından 2024 Haziran ile 2025 [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p><span class="p-author"><i class="icon-font icon-calendar"></i><span class="author">Dec 17, 2025</span></span><span class="p-tags">Email Security / Threat Intelligence</span></p>
</div>
<div id="articlebody">
<h2>APT28 ve UKR-net Kullanıcılarına Yönelik Tehditler</h2>
<p>Son dönemlerde dikkat çeken bir siber tehdit aktörü, Rusya destekli <strong>APT28</strong> olarak bilinen grup. Bu grup, özellikle Ukrayna’nın popüler webmail ve haber servisi <strong>UKR[.]net</strong> kullanıcılarına yönelik uzun süreli bir kimlik avı kampanyası düzenlemektedir. Recorded Future’ın Insikt Grubu tarafından 2024 Haziran ile 2025 Nisan arasında izlenen bu faaliyet, daha önceki saldırıların üzerine inşa edilmiştir.</p>
<h3>APT28&#8217;in Tanımı ve Tarihçe</h3>
<p>APT28, aynı zamanda <strong>BlueDelta</strong>, <strong>Fancy Bear</strong>, ve <strong>Sofacy</strong> gibi farklı isimlerle de anılmaktadır. Rusya’nın Genelkurmay Başkanlığı’na (GRU) bağlı olduğu değerlendirilmektedir. Bu grup, devlet destekli bir aktör olarak bilinen siber casusluğun öncülerindendir ve tarihsel olarak kamu kurumları, savunma sanayi şirketleri ve stratejik düşünce kuruluşlarını hedef almıştır.</p>
<h3>Kimlik Avı Kampanyasının Detayları</h3>
<p>Yeni saldırılar, kullanıcıları sahte UKR[.]net giriş sayfalarına yönlendirmek için <strong>Mocky</strong> gibi meşru hizmetlerde oluşturulmuş sahte sayfaların kullanılmasıyla karakterize edilmektedir. Bu sahte sayfalara yönlendiren bağlantılar, phishing e-postaları aracılığıyla dağıtılan PDF belgelerine gömülüdür.</p>
<h4>Kısaltılmış Bağlantılar ve İki Aşamalı Yönlendirme</h4>
<p>Saldırganlar, bağlantıları <strong>tiny.cc</strong> ya da <strong>tinyurl.com</strong> gibi kısaltma servisleri kullanarak gizlemektedir. Bazı durumlarda ise, Blogger platformlarında (<em>blogspot.com</em> gibi) oluşturulan alt alan adlarıyla iki aşamalı bir yönlendirme zinciri kurulmakta ve sonrasında kimlik avı sayfasına ulaşılmaktadır.</p>
<h3>Stratejik Amaçlar ve Hedef Seçimi</h3>
<p>APT28’in bu kampanyası, Rusya’nın stratejik hedefleri doğrultusunda, Ukrayna’ya karşı yürüttüğü siber savaşın bir parçası olarak değerlendiriliyor. Daha önceki çalışmalarda belirtildiği gibi, grup, önemli bilgileri toplamak üzere hedef alır. Ancak bu kampanya spesifik hedefler ortaya koymamakla birlikte, Ukrayna kullanıcılarından hassas bilgilerin toplanması amacını taşımaktadır.</p>
<h3>Değişen Yöntemler ve Altyapı Kullanımı</h3>
<p>Saldırganlar, daha önce kullanılan ihlal edilmiş yönlendiricilerden, proxy tünelleme hizmetleri gibi yeni yöntemlere geçiş yapmıştır. Örneğin, <strong>ngrok</strong> ve <strong>Serveo</strong> gibi hizmetler, ele geçirilen kimlik bilgilerini ve iki faktörlü kimlik doğrulama kodlarını yakalamak ve iletmek için kullanılmaktadır.</p>
<h3>Sonuç ve Siber Güvenlik Önlemleri</h3>
<p>APT28’in UKR-net kullanıcılarına yönelik bu mevcut kampanyası, Rusya’nın siber saldırı kapasitesinin ve teknik gücünün bir göstergesidir. Batı odaklı altyapıların kaldırılması sonrası, saldırganların, anonim tünelleme yapılarına başvurması önemli bir adaptasyon gösterdiğini yansıtmaktadır.</p>
<p>Sonuç olarak, bireyler ve kuruluşlar, bu tür tehditlere karşı daha proaktif önlemler almalı ve siber güvenliklerini artırmalıdır. Kimlik avı e-postalarına karşı dikkatli olunması, şüpheli bağlantılara tıklanmaması ve güvenlik çözümlerinin aktif kullanılması bu süreçte kritik öneme sahiptir.</p>

<p><a href="https://teknomers.com/category/siber-guvenlik/" rel="dofollow">Güncel Siber Güvenlik Haberleri &#8211; 1</a></p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://teknomers.com/wp-content/uploads/2025/12/APT28in-Ukrayna-UKR-net-Kullanicilarina-Yonelik-Phishing-Saldirilari.jpg" />	</item>
		<item>
		<title>Siber Güvenlik Kurumları Ubiquiti EdgeRouter Kullanıcılarını APT28&#8217;in MooBot Tehdidine Karşı Uyardı</title>
		<link>https://teknomers.com/siber-guvenlik-kurumlari-ubiquiti-edgerouter-kullanicilarini-apt28in-moobot-tehdidine-karsi-uyardi/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Wed, 28 Feb 2024 07:24:17 +0000</pubDate>
				<category><![CDATA[Genel]]></category>
		<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[ağ güvenliği]]></category>
		<category><![CDATA[APT28in]]></category>
		<category><![CDATA[bilgi Güvenliği]]></category>
		<category><![CDATA[bilgisayar Güvenliği]]></category>
		<category><![CDATA[EdgeRouter]]></category>
		<category><![CDATA[fidye yazılımı kötü amaçlı yazılım]]></category>
		<category><![CDATA[güvenlik]]></category>
		<category><![CDATA[hack haberleri]]></category>
		<category><![CDATA[hacker haberleri]]></category>
		<category><![CDATA[Karşı]]></category>
		<category><![CDATA[Kullanıcılarını]]></category>
		<category><![CDATA[Kurumları]]></category>
		<category><![CDATA[MooBot]]></category>
		<category><![CDATA[Nasıl heklenir]]></category>
		<category><![CDATA[Siber]]></category>
		<category><![CDATA[siber güncellemeler]]></category>
		<category><![CDATA[siber güvenlik güncellemeleri]]></category>
		<category><![CDATA[siber güvenlik haberleri]]></category>
		<category><![CDATA[Siber güvenlik haberleri bugün]]></category>
		<category><![CDATA[Siber Haberler]]></category>
		<category><![CDATA[siber saldırılar]]></category>
		<category><![CDATA[tehdidine]]></category>
		<category><![CDATA[Ubiquiti]]></category>
		<category><![CDATA[uyardı]]></category>
		<category><![CDATA[veri ihlali]]></category>
		<category><![CDATA[yazılım güvenlik açığı]]></category>
		<guid isPermaLink="false">https://teknomers.com/2024/02/28/siber-guvenlik-kurumlari-ubiquiti-edgerouter-kullanicilarini-apt28in-moobot-tehdidine-karsi-uyardi/</guid>

					<description><![CDATA[28 Şubat 2024Haber odasıÜrün Yazılımı Güvenliği / Güvenlik Açığı Yeni bir ortak tavsiye belgesinde, ABD ve diğer ülkelerdeki siber güvenlik ve istihbarat teşkilatları, Dying Ember kod adlı bir operasyonun parçası olarak kolluk kuvvetleri tarafından virüslü yönlendiricilerden oluşan bir botnet&#8217;in düşürülmesinden haftalar sonra, Ubiquiti EdgeRouter kullanıcılarını koruyucu önlemler almaya çağırıyor. MooBot adlı botnet&#8217;in, APT28 olarak bilinen [&#8230;]]]></description>
										<content:encoded><![CDATA[<p> <br />
</p>
<div>
<p><span class="p-author"><i class="icon-font icon-calendar"></i><span class="author">28 Şubat 2024</span><i class="icon-font icon-user"></i><span class="author">Haber odası</span></span><span class="p-tags">Ürün Yazılımı Güvenliği / Güvenlik Açığı</span></p>
</div>
<div id="articlebody">
<div class="separator" style="clear: both;"><a rel="nofollow" href="https://teknomers.com/wp-content/uploads/2024/02/Siber-Guvenlik-Kurumlari-Ubiquiti-EdgeRouter-Kullanicilarini-APT28in-MooBot-Tehdidine-Karsi.jpg" style="clear: left; display: block; float: left; text-align: center;"></a></div>
<p>Yeni bir ortak tavsiye belgesinde, ABD ve diğer ülkelerdeki siber güvenlik ve istihbarat teşkilatları, Dying Ember kod adlı bir operasyonun parçası olarak kolluk kuvvetleri tarafından virüslü yönlendiricilerden oluşan bir botnet&#8217;in düşürülmesinden haftalar sonra, Ubiquiti EdgeRouter kullanıcılarını koruyucu önlemler almaya çağırıyor.</p>
<p>MooBot adlı botnet&#8217;in, APT28 olarak bilinen Rusya bağlantılı bir tehdit aktörü tarafından gizli siber operasyonları kolaylaştırmak ve daha sonra istismar edilmek üzere özel kötü amaçlı yazılımları bırakmak için kullanıldığı söyleniyor.  Rusya&#8217;nın Genelkurmay Ana Müdürlüğü&#8217;ne (GRU) bağlı APT28&#8217;in en az 2007&#8217;den beri aktif olduğu biliniyor.</p>
<p>Yetkililer, APT28 aktörlerinin &#8220;kimlik bilgilerini toplamak, NTLMv2 özetlerini, proxy ağ trafiğini toplamak ve hedef odaklı kimlik avı açılış sayfalarını ve özel araçları barındırmak için dünya genelinde güvenliği ihlal edilmiş EdgeRouters&#8217;ı kullandığını&#8221; belirtti. <a rel="nofollow noopener" href="https://www.ic3.gov/Media/News/2024/240227.pdf" target="_blank">söz konusu</a> [PDF].</p>
<p>Düşmanın EdgeRouters kullanımı 2022 yılına kadar uzanıyor; saldırılar Çek Cumhuriyeti, İtalya, Litvanya&#8217;da havacılık ve savunma, eğitim, enerji ve kamu hizmetleri, hükümetler, konaklama, üretim, petrol ve gaz, perakende, teknoloji ve ulaşım sektörlerini hedef alıyordu. Ürdün, Karadağ, Polonya, Slovakya, Türkiye, Ukrayna, BAE ve ABD</p>
<div class="check_two clear bobbob"></div>
<p>MooBot saldırıları, OpenSSH truva atlarını dağıtmak için varsayılan veya zayıf kimlik bilgilerine sahip yönlendiricileri hedeflemeyi gerektirir; APT28, kimlik bilgilerini, proxy ağ trafiğini, ana bilgisayar kimlik avı sayfalarını ve diğer araçları toplamak için bash komut dosyası ve diğer ELF ikili dosyalarını sunmak için bu erişimi elde eder.</p>
<p>Buna, siteler arası komut dosyası çalıştırma ve tarayıcıdaki tarayıcı (BitB) hedefli kimlik avı kampanyaları aracılığıyla toplanan, özel olarak hedeflenen web posta kullanıcılarına ait hesap kimlik bilgilerini yüklemek için Python komut dosyaları da dahildir.</p>
<p>APT28 ayrıca, Microsoft Outlook&#8217;ta NT LAN Manager (NTLM) karmalarının çalınmasına olanak tanıyan ve aktarma saldırısı başlatabilen, artık yamalanmış kritik bir ayrıcalık yükseltme kusuru olan CVE-2023-23397&#8217;nin (CVSS puanı: 9,8) kötüye kullanılmasıyla da ilişkilendirilmiştir. herhangi bir kullanıcı etkileşimi gerektirmeden.</p>
<p>Kötü amaçlı yazılım cephaneliğindeki bir diğer araç da, tehlikeye atılmış Ubiquiti EdgeRouters&#8217;ı komuta ve kontrol (C2) altyapısı olarak kullanarak kurban makinelerde rastgele komutlar yürütebilen bir Python arka kapısı olan MASEPIE&#8217;dir.</p>
<p>Ajanslar, &#8220;Güvenliği aşılmış Ubiquiti EdgeRouters&#8217;a root erişimi sayesinde APT28 aktörleri, araçları yüklemek ve kötü amaçlı kampanyalar yürütürken kimliklerini gizlemek için Linux tabanlı işletim sistemlerine sınırsız erişime sahip&#8221; dedi.</p>
<div class="check_two clear bobbob"></div>
<p>Kuruluşların, dosya sistemlerini kötü amaçlı dosyalardan temizlemek, en son ürün yazılımı sürümüne yükseltmek, varsayılan kimlik bilgilerini değiştirmek ve uzaktan yönetim hizmetlerinin açığa çıkmasını önlemek için güvenlik duvarı kurallarını uygulamak için yönlendiricileri donanım fabrika ayarlarına sıfırlaması önerilir.</p>
<p>Ortaya çıkanlar, ulus devlet korsanlarının yönlendiricileri saldırılar için giderek daha fazla bir başlangıç ​​noktası olarak kullandığının, bunları VPNFilter, Cyclops Blink ve KV-botnet gibi botnet&#8217;ler oluşturmak ve kötü amaçlı faaliyetlerini yürütmek için kullandıklarının bir işareti.</p>
<p>Bülten, Five Eyes ülkelerinin, Rusya&#8217;nın Dış İstihbarat Servisi&#8217;ne (SVR) bağlı tehdit grubu ve SolarWinds, Microsoft ve HPE&#8217;ye yapılan saldırıların arkasındaki kuruluş olan APT29&#8217;u, buluta erişim için hizmet hesapları ve hareketsiz hesaplar kullanması konusunda çağırmasından bir gün sonra geldi. Hedef kuruluşlardaki ortamlar.</p>
<p></p>
</div>
<p><br />
<br /><a href="https://teknomers.com">siber-2</a></p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://teknomers.com/wp-content/uploads/2024/02/Siber-Guvenlik-Kurumlari-Ubiquiti-EdgeRouter-Kullanicilarini-APT28in-MooBot-Tehdidine-Karsi.jpg" />	</item>
	</channel>
</rss>
