Son analizlere göre, bir borsa yöneticisinin Outlook posta kutusuna yönelik beş ay süren gizli bir siber casusluk kampanyası tespit edildi. Bu saldırı, finans sektöründe kritik öneme sahip piyasa hareketlerini ve gizli bilgileri hedef aldı. Saldırganlar, doğrudan posta kutusuna erişim sağlayarak, geniş çaplı sistemlere ihtiyaç duymadan önemli verileri topladı.
Saldırı Zinciri ve Teknik Detaylar
İlk kötü amaçlı faaliyet 10 Ekim 2025 tarihinde başladı. Saldırganlar, Windows sisteminde en yüksek ayrıcalık olan SYSTEM yetkisiyle çalışan iki zararlı ikili dosya çalıştırdı. Bunlardan biri Adobe güncelleyicisi, diğeri ise OneDrive hizmeti taklidi yapıyordu. İlk erişim yöntemi kesin olarak bilinmemekle birlikte, lateral hareketle daha önce ele geçirilmiş bir cihazdan yayılma olduğu değerlendiriliyor.
12 Kasım 2025’te saldırı hızlandı; Dropbox API anahtarı ele geçirildi, veri sızıntısı için curl aracı kullanıldı ve asıl araç devreye alındı. Bu araç, Aspose adlı meşru bir .NET kütüphanesi temel alınarak geliştirilmiş bir posta kutusu çalma yazılımıydı. Outlook OST ve PST dosyalarını okuyup, posta kutusunu PST formatında diske kaydediyordu. Her çalıştırmada parola ve tarih aralığı parametreleri kullanıldı.
İlk çekiş Ağustos 2025’ten itibaren tüm verileri kapsarken, sonraki erişimler iki ila dört haftada bir yapıldı ve sadece önceki çekişten sonraki günler alındı. Bu yöntem, güvenlik yazılımlarının dikkatini çekmeden neredeyse sürekli veri kopyası oluşturulmasını sağladı.
Hangi Sistemler Risk Altında?
Hedeflenen posta kutusu, halka açık olmayan listeleme bilgileri, yaptırım süreçleri, anlaşma koşulları, piyasa hareketlerini etkileyebilecek planlar, yönetici takvimi ve iletişim bilgileri gibi kritik veriler içeriyordu. Saldırganlar, Adobe, Lenovo ve OneDrive sistem hizmetleri gibi görünen zamanlanmış görevlerle gizliliği sağladı. Veri sızdırma için Dropbox ve OneDrive kişisel hesapları kullanıldı; OneDrive bağlantıları ise DNS sorgusu oluşturmayacak şekilde Microsoft IP adreslerine doğrudan yapıldı.
Kasım ayında geçici bir dosya barındırma servisi test edildi ancak sonrasında kullanılmadı. 19 Mart 2026’da yeni bir arka kapı hazırlanmasına rağmen çalıştırılmadı; bu da saldırganın kısa süre sonra erişimi kaybettiğine işaret ediyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Outlook ve posta kutusu erişim loglarını düzenli olarak inceleyin.
- Şüpheli zamanlanmış görevler ve sistem hizmeti taklitlerini tespit etmek için EDR çözümlerini yapılandırın.
- Dropbox ve OneDrive gibi kişisel bulut hesaplarına yönelik veri transferlerini SIEM ile izleyin.
- Lateral hareketleri engellemek için ağ segmentasyonu ve Zero Trust prensiplerini uygulayın.
- Yönetici hesaplarında çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirin.
- Kullanıcı hesaplarından şifre ve kimlik bilgisi sızıntılarını önlemek için Secretsdump ve benzeri araçlara karşı önlemler alın.
- Windows User Account Control (UAC) atlatma tekniklerine karşı güncel yamaları uygulayın.
- Olay müdahale süreçlerinizi, özellikle posta kutusu ihlallerine yönelik senaryolarla test edin.
Teknik Özet
- Kullanılan araçlar: Aspose tabanlı posta kutusu çalma yazılımı, FRPC tünelleme aracı, Secretsdump, SharpDecryptPwd, UAC atlatma araçları.
- Hedef: Finans sektöründe borsa yöneticisi ve bağlı sistemler.
- Saldırı zinciri: Öncelikli erişim ve lateral hareket → SYSTEM ayrıcalığı ile zararlı ikili çalıştırma → Dropbox API ile veri sızdırma → Posta kutusu verilerinin düzenli çekilmesi.
- CVE: Bu saldırı bilinen bir güvenlik açığından kaynaklanmıyor, dolayısıyla yamalarla kapatılamıyor.
- Savunma: Sürekli izleme, anormal posta kutusu erişimlerinin tespiti, bulut veri çıkışlarının kontrolü ve güçlü kimlik doğrulama önlemleri.
Bu vaka, e-posta güvenliği ve bulut güvenliği alanlarında gelişmiş tehditlerin nasıl gizlice hareket edebileceğini gösteriyor. Özellikle finansal piyasalarda kritik bilgilerin korunması için kapsamlı bir güvenlik yaklaşımı şart. Fidye yazılımı saldırılarından farklı olarak, burada amaç doğrudan veri hırsızlığı ve casusluk olduğundan, olay müdahale ve izleme süreçleri öncelikli hale geliyor.