APT28, MSHTML Sıfır Gün Açığını Şubat 2026 Yaması Öncesi Sömürdü

Anasayfa » APT28, MSHTML Sıfır Gün Açığını Şubat 2026 Yaması Öncesi Sömürdü
APT, Siber Tehditler, Zafiyetler
Mart 3, 2026Mart 3, 2026Tarafından Cybernews.TR
0
APT28, MSHTML Sıfır Gün Açığını Şubat 2026 Yaması Öncesi Sömürdü

Yapılan son analizlere göre, APT28 grubu Windows işletim sistemlerinde yer alan MSHTML bileşenindeki kritik bir güvenlik açığını (CVE-2026-21513) Şubat 2026 yaması yayınlanmadan önce aktif şekilde sömürdü. Bu açık, MSHTML çerçevesinde yüksek şiddette bir güvenlik özelliği atlatma zafiyeti olarak tanımlanıyor ve CVSS puanı 8.8 olarak derecelendirildi.

Saldırının Genel Çerçevesi

Saldırganlar, hedef kullanıcıları kötü amaçlı HTML dosyaları veya Windows kısayolu (LNK) dosyaları aracılığıyla tuzağa düşürerek açığı istismar etti. Bu dosyalar genellikle e-posta eki veya bağlantı şeklinde gönderiliyor. Dosya açıldığında, MSHTML ve Windows Shell işlemleri manipüle edilerek işletim sistemi üzerinde zararlı kodun çalıştırılması sağlanıyor. Bu yöntem, saldırganların güvenlik sınırlarını aşmasına ve sistemde kod yürütmesine imkan tanıyor.

APT28’in kullandığı LNK dosyaları, standart yapının hemen ardından gömülü özel hazırlanmış HTML içeriyor ve bu dosyalar, tehdit aktörünün kontrolündeki “wellnesscaremed[.]com” alanıyla iletişim kuruyor. Bu çok aşamalı yükleme tekniği, iç içe iframe ve çoklu DOM bağlamları kullanarak güvenlik mekanizmalarını aşmayı hedefliyor.

Saldırı Zinciri ve Teknik Detaylar

  • Kullanılan zararlılar ve araçlar: Özel hazırlanmış LNK dosyaları ve gömülü HTML içerikler.
  • Hedef sektörler ve bölgeler: Özellikle kurumsal kullanıcılar ve Ukrayna merkezli hedefler.
  • Kullanılan zafiyetler: CVE-2026-21513 (MSHTML güvenlik özelliği atlatma), ayrıca bağlantılı CVE-2026-21509 da raporlandı.
  • Saldırı zinciri adımları: Phishing yoluyla kötü amaçlı dosya teslimi, MSHTML ve Windows Shell manipülasyonu, kod yürütme.
  • Temel savunma yaklaşımları: Güncel yama uygulaması, e-posta güvenliği çözümleri, EDR ve SIEM sistemlerinde anomali tespiti, ağ segmentasyonu ve olay müdahale planları.

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

  • Şubat 2026 yamasını öncelikli olarak tüm Windows sistemlerine uygulayın.
  • EDR çözümlerinde MSHTML ve ShellExecuteExW fonksiyon çağrılarını izleyin.
  • E-posta güvenliği politikalarını güçlendirerek LNK ve HTML eklerine karşı filtrelemeyi artırın.
  • SIEM sistemlerinde olağan dışı iframe ve DOM manipülasyonlarını tespit edecek kural setleri oluşturun.
  • Mark-of-the-Web (MotW) ve Internet Explorer Gelişmiş Güvenlik Yapılandırması (IE ESC) ayarlarını gözden geçirerek zayıf noktaları kapatın.
  • Çok faktörlü kimlik doğrulama (MFA) ve ağ segmentasyonu ile saldırı yüzeyini azaltın.
  • Olay müdahale (incident response) süreçlerinizi, sıfır gün saldırılarına karşı hızlı aksiyon alacak şekilde güncelleyin.
  • Kullanıcı eğitimleri ile oltalama (phishing) saldırılarına karşı farkındalığı artırın.

Kurumsal Ortamlarda Olası Senaryo

Örneğin bir finans kurumunda, çalışanlara gönderilen oltalama e-postaları ile kötü amaçlı LNK eki açtırılabilir. Bu dosya, MSHTML açığını kullanarak kurumun iç ağına sızabilir ve zararlı kodu çalıştırabilir. Sonrasında saldırgan, ağ segmentasyonunun yetersiz olduğu alanlarda hareket ederek hassas verilere erişim sağlayabilir. Bu nedenle, kurumların hem uç nokta korumasını hem de ağ güvenliğini çok katmanlı şekilde sağlaması gerekmektedir.

Bu saldırı, özellikle e-posta güvenliği ve kullanıcı farkındalığının önemini bir kez daha ortaya koyuyor. Ayrıca, bulut güvenliği ve kimlik erişim yönetimi (IAM) çözümlerinin entegre edilmesi, saldırı yüzeyini azaltmada kritik rol oynuyor.

, , , , , , ,