Siber Güvenlik Haberleri, Tehdit İstihbaratı

Çinli Tehdit Grupları, Microsoft SharePoint ToolShell Açığını Temmuz 2025 Yaması Sonrası Aktif Olarak İstismar Ediyor

Ekim 22, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Çinli Tehdit Grupları, Microsoft SharePoint ToolShell Açığını Temmuz 2025 Yaması Sonrası Aktif Olarak İstismar Ediyor

Temmuz 2025’te Microsoft tarafından yamalanan CVE-2025-53770 numaralı ToolShell açığı, Çin merkezli birden fazla tehdit aktörü tarafından Orta Doğu’daki bir telekomünikasyon şirketi başta olmak üzere çeşitli hedeflerde aktif olarak sömürülüyor. Broadcom’un Symantec Threat Hunter ekibinin raporuna göre, bu kritik SharePoint güvenlik açığı kimlik doğrulama atlatma ve uzaktan kod yürütme imkanı sağlıyor.

Çoklu Çinli Tehdit Gruplarının Saldırı Profili

Linen Typhoon (Budworm), Violet Typhoon (Sheathminer) ve Storm-2603 gibi üç ana tehdit grubu, CVE-2025-53770 ile birlikte CVE-2025-49704 ve CVE-2025-49706 açıklarını sıfır gün olarak kullanmakta. Storm-2603, Warlock, LockBit ve Babuk fidye yazılımı aileleriyle bağlantılı olarak biliniyor. Ayrıca Salt Typhoon (Glowworm) grubu, ToolShell açığını kullanarak Zingdoor, ShadowPad ve KrustyLoader gibi gelişmiş araçlarla Afrika ve Orta Doğu’daki devlet kurumlarına saldırılar düzenliyor.

Teknik Ayrıntılar ve İstismar Yöntemleri

KrustyLoader, Rust tabanlı bir yükleyici olarak Ocak 2024’te Synacktiv tarafından detaylandırıldı ve daha önce UNC5221 adlı Çin bağlantılı casusluk grubunun Ivanti Endpoint Manager Mobile (EPMM) ve SAP NetWeaver açıklarını istismar eden operasyonlarında kullanıldı. Güney Amerika’daki devlet kurumları ve ABD’deki üniversiteye yönelik saldırılarda ise başlangıç erişimi için farklı açıklardan yararlanılıyor; ardından SQL Server, Adobe ColdFusion ve Apache HTTP sunucularında DLL yan yükleme teknikleriyle kötü amaçlı yazılımlar dağıtılıyor.

Bazı vakalarda, saldırganlar CVE-2021-36942 (PetitPotam) açığını kullanarak ayrıcalık yükseltme ve alan ele geçirme gerçekleştiriyor. Enfekte sistemlerde ise living-off-the-land (LotL) araçlarıyla tarama, dosya indirme ve kimlik bilgisi hırsızlığı yapılıyor. Ayrıca, saldırganların konteyner ortamlarında rastgele SSH portları açarak gizli erişim sağlama ve MCP istemcisi ile Pydantic AI tabanlı otomasyon teknikleri kullanarak saldırılarını hızlandırdıkları gözlemleniyor. AsyncRAT benzeri uzaktan erişim araçları da operasyonlarda yer almakta.

Sonuç ve Siber Güvenlik Perspektifi

Symantec, bu faaliyetlerin tek bir gruba kesin olarak atfedilmesinin zor olduğunu ancak tüm kanıtların Çin merkezli tehdit aktörlerine işaret ettiğini belirtiyor. Hedeflenen ağlarda kimlik bilgisi hırsızlığı ve kalıcı gizli erişim sağlama amaçlı faaliyetler ön planda. Siber güvenlik uzmanlarının, yamaların hızla uygulanması, anormal ağ trafiğinin izlenmesi ve gelişmiş tehdit avı teknikleriyle bu saldırılara karşı önlem alması kritik önem taşıyor.

, , , , , , ,