Çin bağlantılı gelişmiş sürekli tehdit (APT) grubu UAT-8837, Eylül 2025’te yayımlanan Sitecore sıfır-gün açığını (CVE-2025-53690, CVSS: 9.0) kullanarak kritik altyapılara yönelik saldırılar düzenliyor. Bu kampanya, Google’a ait Mandiant tarafından raporlanan benzer TTP, araç ve altyapı kullanımıyla dikkat çekiyor. Sitecore açığı, o ayın başında yamanmış olsa da, saldırganlar halen bu zafiyeti istismar ederek ilk erişimi sağlıyor.
Saldırı Zinciri ve Teknik Detaylar
UAT-8837’nin saldırı süreci, öncelikle savunmasız Sitecore sunucularını hedef alarak başlıyor. Başarılı istismar sonrası, grup açık kaynaklı araçlar ve ele geçirilmiş kimlik bilgileriyle Active Directory (AD) ve diğer hassas verileri topluyor. Saldırı zinciri şu adımlardan oluşuyor:
- Sitecore sıfır-gün açığının kullanımıyla ilk erişimin sağlanması
- Kimlik bilgileri ve güvenlik yapılandırmalarının toplanması
- RDP için RestrictedAdmin özelliğinin devre dışı bırakılması
- Post-exploitation araçları ile kalıcı erişim ve keşif faaliyetleri
Kullanılan araçlar arasında GoTokenTheft (erişim tokenlarını çalma), EarthWorm (SOCKS tünelleme), DWAgent (kalıcı erişim ve AD keşfi), SharpHound (AD bilgisi toplama), Impacket (yükseltilmiş komut çalıştırma), GoExec (uzak uç noktalarda komut yürütme), Rubeus (Kerberos kötüye kullanımı) ve Certipy (AD keşfi) bulunuyor. Bu araçlar, MITRE ATT&CK tekniklerine uygun olarak kimlik bilgisi hırsızlığı, lateral hareket ve kalıcılık sağlıyor.
Hangi Sistemler Risk Altında?
Özellikle yüksek değerli kuruluşlar ve kritik altyapılar hedefleniyor. Güney Asya ve Güneydoğu Avrupa bölgelerinde yoğunlaşan saldırılar, devlet destekli aktörlerin yanı sıra fırsatçı saldırganların da OT (operasyonel teknoloji) sistemlerine yönelik tehdit oluşturduğunu gösteriyor. OT ortamlarındaki açık ve güvensiz bağlantılar, saldırganlar için kolay erişim noktaları yaratıyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Sitecore ve benzeri kritik uygulamaların yamalarını zamanında uygulayın.
- EDR ve SIEM çözümleriyle anormal kimlik doğrulama ve RDP aktivitelerini izleyin.
- Active Directory yapılandırmalarını düzenli olarak denetleyin ve gereksiz ayrıcalıkları kaldırın.
- RDP erişimlerinde MFA (çok faktörlü kimlik doğrulama) kullanın ve RestrictedAdmin gibi güvenlik özelliklerini aktif tutun.
- Ağ segmentasyonu ile OT ve IT ortamlarını izole edin, bağlantıları merkezileştirin.
- Olay müdahale planlarını güncel tutarak hızlı tespit ve müdahale kabiliyeti sağlayın.
- Kimlik bilgisi hırsızlığına karşı token ve Kerberos tabanlı saldırıları tespit edecek araçlar kullanın.
- Log yönetimini optimize ederek, özellikle kimlik doğrulama, RDP ve AD aktivitelerini detaylı kaydedin.
Kurumsal Senaryo: Finans Sektöründe Riskler
Bir finans kurumunda Sitecore tabanlı müşteri portalı hedef alındığında, saldırganlar sıfır-gün açığı kullanarak ilk erişimi sağlıyor. Sonrasında, ele geçirilen kimlik bilgileriyle AD üzerinde lateral hareket gerçekleştirip, kritik finansal verilere ulaşabiliyorlar. Bu durum, hem müşteri verilerinin sızmasına hem de operasyonel kesintilere yol açabilir. Bu tür senaryolarda, IAM (Identity and Access Management) politikalarının sıkılaştırılması ve bulut güvenliği önlemlerinin artırılması hayati önem taşıyor.
Sonuç olarak, Çin kaynaklı UAT-8837 grubu gibi gelişmiş tehdit aktörlerinin karmaşık saldırı teknikleri ve sıfır-gün açıklarını kullanması, kritik altyapıların güvenliğini tehdit ediyor. Kuruluşların, e-posta güvenliği, ağ segmentasyonu ve olay müdahale süreçlerini güçlendirerek bu tehditlere karşı hazırlıklı olması gerekiyor.