Siber Güvenlik Analizi, Siber Tehditler

APT31’in Rus BT Sektörüne Yönelik Bulut Tabanlı Gizli Saldırıları ve Türkiye İçin Riskler

Kasım 24, 2025Kasım 25, 2025Tarafından Cybernews.TR
0
APT31’in Rus BT Sektörüne Yönelik Bulut Tabanlı Gizli Saldırıları ve Türkiye İçin Riskler

APT31 olarak bilinen Çin kaynaklı tehdit aktörü, 2010’dan beri çeşitli sektörlere yönelik siber casusluk faaliyetleri yürütüyor. 2024 ve 2025 yıllarında özellikle Rusya’nın bilgi teknolojileri sektörüne odaklanan grup, devlet kurumlarına hizmet veren yüklenici ve entegratör şirketleri hedef aldı. Bu saldırılar, Yandex Cloud gibi ülkede yaygın kullanılan bulut platformlarını komut ve kontrol (C2) kanalı olarak kullanarak tespit edilmekten kaçınıyor. Saldırganlar, hafta sonları ve resmi tatillerde aktif olarak zararlı yazılımlarını yayıyor ve şifrelenmiş komutlar ile sosyal medya profilleri üzerinden iletişim kuruyor.

APT31’in kullandığı araçlar arasında SharpADUserIP, SharpChrome.exe, StickyNotesExtract.exe gibi keşif ve veri çıkarma araçları bulunuyor. Ayrıca Tailscale VPN ve Microsoft dev tunnels gibi şifreli tünelleme çözümleriyle ağ içi hareketlilik sağlanıyor. CloudSorcerer ve OneDriveDoor gibi bulut tabanlı arka kapılar, saldırganların uzun süre gizli kalmasını mümkün kılıyor. Bu araçlar, özellikle Yandex Disk ve Microsoft OneDrive üzerinde zamanlanmış görevlerle kalıcılık sağlıyor.

Türkiye İçin Ne Anlama Geliyor?

Türkiye’deki kurumlar ve KOBİ’ler, benzer saldırı tekniklerine karşı savunmasız kalabilir. Özellikle kritik altyapı ve kamu kurumlarının kullandığı bulut hizmetleri, APT31 benzeri tehdit aktörlerinin hedefi olabilir. KVKK kapsamında kişisel verilerin korunması zorunluluğu, bu tür saldırılarda veri sızıntısı riskini artırıyor. Örneğin, bir e-ticaret platformunda Yandex Cloud veya Microsoft OneDrive üzerinden gizlenen zararlı yazılımlar, müşteri verilerinin ve ödeme bilgilerini içeren kritik dosyaların çalınmasına yol açabilir.

Türkiye’de bulut güvenliği ve e-posta güvenliği alanında alınacak önlemler, bu tür gelişmiş tehditlere karşı ilk savunma hattını oluşturuyor. Siber güvenlik farkındalığı artırılmalı, özellikle sosyal mühendislik ve oltalama saldırılarına karşı eğitimler yaygınlaştırılmalı. Ayrıca mevzuat gereği kritik altyapıların siber güvenlik standartlarına uyumu denetlenmeli ve güncel tehdit istihbaratı paylaşımı yapılmalıdır.

Bu bağlamda, Türkiye’de SOC ekipleri ve sistem yöneticileri, bulut tabanlı C2 kanallarını ve şifreli tünelleme yöntemlerini yakından takip etmeli; MCP istemcisi, AsyncRAT benzeri araçların davranışlarını analiz ederek erken tespit mekanizmaları geliştirmelidir. Ayrıca konteynerlerde rastgele SSH portları kullanımı gibi ileri seviye teknik detaylar göz önünde bulundurulmalıdır.

Sistem Yöneticileri ve SOC Ekipleri İçin Hızlı Kontrol Listesi

  • Bulut hizmetleri üzerinde olağan dışı trafik ve zamanlanmış görevleri düzenli olarak denetleyin.
  • EDR çözümlerinde SharpChrome.exe, StickyNotesExtract.exe gibi bilinen APT31 araçlarının imzalarını güncel tutun.
  • Şifreli tünelleme ve VPN bağlantılarını anormal kullanım açısından izleyin ve loglayın.
  • Oltalama e-postalarındaki RAR, ZIP arşivlerine karşı gelişmiş sandbox analizleri uygulayın.
  • Yandex Cloud ve Microsoft OneDrive erişimlerini rol bazlı erişim kontrolleriyle sınırlandırın.
  • Hafta sonları ve tatil günlerinde ağ aktivitelerini artırarak anormal davranışları tespit edin.
  • Yerel ağda PlugX varyantı gibi yayılma araçlarına karşı segmentasyon ve izinsiz giriş tespit sistemleri kullanın.
  • Güncel CVE bildirimlerini takip ederek kritik yamaları zamanında uygulayın (örneğin CVE-2024-XXXX).

Teknik Özet

  • Kullanılan Zararlılar / Araçlar: CloudyLoader (Cobalt Strike yükleyicisi), SharpADUserIP, SharpChrome.exe, StickyNotesExtract.exe, Tailscale VPN, Microsoft dev tunnels, Owawa, AufTime, COFFProxy, VtChatter, OneDriveDoor, LocalPlugX, CloudSorcerer, YaLeak.
  • Hedef Sektörler / Bölgeler: Rusya BT sektörü, devlet kurumları, finans, havacılık, savunma, yüksek teknoloji, telekomünikasyon, medya, sigorta.
  • Kullanılan Zafiyetler: Spear-phishing yoluyla DLL yan yükleme, oltalama e-postalarında RAR ve ZIP arşivleri; spesifik CVE kodları henüz açıklanmadı ancak benzer saldırılar için CVE-2024-XXXX gibi güncel zafiyetler takip edilmeli (NVD CVE-2024-XXXX).
  • Saldırı Zinciri Özeti: 1) Spear-phishing ile hedef ağa sızma, 2) Bulut tabanlı C2 kanalları ve şifreli tünellerle gizli iletişim, 3) Veri sızıntısı ve kalıcılık için özel araçların kullanımı.
  • Önerilen Savunma Yaklaşımı: Çok katmanlı güvenlik, bulut ve e-posta güvenliği önlemleri, gelişmiş EDR ve SIEM entegrasyonları, düzenli yama yönetimi ve kullanıcı farkındalığı eğitimleri.

Bu gelişmiş saldırı teknikleri, özellikle bulut tabanlı altyapılarda yeni savunma stratejilerinin geliştirilmesini zorunlu kılıyor. Türkiye’deki kurumların, benzer tehditlere karşı hazırlıklı olması için kapsamlı siber güvenlik politikaları ve güncel tehdit istihbaratı entegrasyonu kritik önem taşıyor.

, , , , , , ,