APT28’in Webhook Tabanlı Makro Saldırıları: Avrupa’da Yeni Tehdit Dalgası

Anasayfa » APT28’in Webhook Tabanlı Makro Saldırıları: Avrupa’da Yeni Tehdit Dalgası
APT, Saldırı Teknikleri, Siber Tehditler
Şubat 26, 2026Şubat 26, 2026Tarafından Cybernews.TR
0
APT28’in Webhook Tabanlı Makro Saldırıları: Avrupa’da Yeni Tehdit Dalgası

Saldırının Genel Çerçevesi

Devlet destekli tehdit aktörü APT28, Batı ve Orta Avrupa’daki belirli kurum ve sektörleri hedef alan yeni bir siber saldırı kampanyası gerçekleştirdi. Eylül 2025 ile Ocak 2026 tarihleri arasında aktif olan bu operasyon, “Operation MacroMaze” adıyla takip edildi. Saldırılar, hedefli oltalama e-postaları yoluyla makro içeren tuzak belgeler dağıtarak başladı. Belgelerde kullanılan “INCLUDEPICTURE” yapısı, webhook.site adresine işaret eden bir JPG dosyasını çağırarak belge açıldığında uzak sunucuya HTTP isteği gönderilmesini sağladı. Bu mekanizma, hedefin belgeyi açtığını doğrulamak için izleme piksellerine benzer şekilde çalıştı.

Saldırı Zinciri ve Teknik Detaylar

Kampanyada tespit edilen makrolar, ele geçirilen sistemlerde dropper görevi görerek ek kötü amaçlı yüklerin teslimatını sağladı. Makrolar, Visual Basic Script (VBScript) çalıştırarak kalıcılık için zamanlanmış görevler oluşturdu ve CMD tabanlı batch scriptler ile Microsoft Edge tarayıcısının headless modunda Base64 kodlu HTML yükü render etti. Bu batch script, webhook.site uç noktasından komut alıp çalıştırdıktan sonra çıktıyı yine aynı servise HTML dosyası olarak sızdırdı. Alternatif varyantlarda ise tarayıcı penceresi ekran dışına taşındı ve diğer Edge süreçleri agresif şekilde sonlandırıldı. Bu yöntem, standart HTML işlevselliğini kullanarak veri sızdırmayı gerçekleştirirken diskte tespit edilebilir izleri minimuma indiriyor.

Hangi Sistemler Risk Altında?

Özellikle Avrupa’daki kamu kurumları, finans sektörü ve kritik altyapılar hedef alındı. Saldırılar, e-posta güvenliği zafiyetleri üzerinden başlatıldığı için kurumsal e-posta sistemleri ve kullanıcıların oltalama saldırılarına karşı farkındalığı kritik. Ayrıca, Microsoft Edge tarayıcısının headless modunun kötüye kullanılması, modern tarayıcı tabanlı saldırı tekniklerinin önemini ortaya koyuyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • E-posta güvenliği çözümlerinde gelişmiş oltalama tespit kuralları uygulayın.
  • Makro içeren Office belgelerinin kullanımını kısıtlayarak veya dijital imza zorunluluğu getirerek riskleri azaltın.
  • EDR çözümlerinde VBScript, batch script ve headless tarayıcı aktivitelerini izleyen kurallar oluşturun.
  • Webhook tabanlı iletişimleri tespit etmek için SIEM sistemlerinde anormal HTTP isteklerini analiz edin.
  • Zamanlanmış görevlerde ve startup klasörlerinde olağandışı değişiklikleri düzenli olarak kontrol edin.
  • Microsoft Edge ve diğer tarayıcıların headless mod kullanımını kısıtlayacak politikalar geliştirin.
  • Ağ segmentasyonu ile kritik sistemlerin dışa yönelik isteklerini sınırlandırın.
  • Kullanıcı eğitimleri ile oltalama ve sosyal mühendislik saldırılarına karşı farkındalığı artırın.

Teknik Özet

  • Kullanılan araçlar: Makro tabanlı dropper, VBScript, batch script, headless Microsoft Edge, webhook.site.
  • Hedefler: Batı ve Orta Avrupa’daki kamu kurumları, finans sektörü ve kritik altyapılar.
  • Saldırı zinciri: 1) Hedefli oltalama e-postası ile makro içeren belge gönderimi, 2) Makro ile VBScript ve batch script çalıştırılması, 3) Headless modda tarayıcı üzerinden komut alma ve veri sızdırma.
  • Önerilen savunma: Makro kullanımının sınırlandırılması, gelişmiş e-posta güvenliği, EDR ve SIEM ile anomali tespiti, ağ segmentasyonu ve kullanıcı eğitimi.

Bu kampanya, basit araçların (batch dosyaları, küçük VBS başlatıcıları, HTML) dikkatli ve gizlilik odaklı kullanımıyla nasıl etkili saldırılar gerçekleştirilebileceğini gösteriyor. Özellikle webhook tabanlı veri sızdırma teknikleri, standart güvenlik çözümlerinin ötesinde analiz ve müdahale gerektiriyor. Siber güvenlik ekiplerinin, olay müdahale süreçlerinde bu tür modern saldırı tekniklerini göz önünde bulundurmaları önem taşıyor.

, , , , , , ,