Microsoft, siber suçluların zararlı yazılımları güvenilir uygulama gibi göstermesine yardımcı olan bir kod imzalama hizmetini devre dışı bıraktığını açıkladı. Şirketin açıklamasına göre operasyon, 2025 Mayıs ayından bu yana aktif olan ve güvenlik araştırmacılarının Fox Tempest olarak izlediği bir tehdit aktörüne bağlandı. Hedef alınan altyapı, fidye yazılımı kampanyalarında kullanılan imzalı yüklerin üretilmesini ve dağıtılmasını kolaylaştırıyordu.
Bu müdahale, özellikle sağlık, eğitim, kamu ve finans sektörlerini etkileyen saldırı zincirlerini doğrudan ilgilendiriyor. ABD, Fransa, Hindistan ve Çin’deki kurumların da bu ekosistemin dolaylı hedefleri arasında yer aldığı belirtiliyor. Microsoft’un operasyonu, sahte sertifikalarla imzalanmış zararlı dosyaların kurumsal güvenlik kontrollerini aşmasını engellemeyi amaçladı.
Saldırının Genel Çerçevesi
İncelemelere göre Fox Tempest, meşru yazılım dağıtım süreçlerini taklit eden bir Malware-as-a-Service yaklaşımıyla çalıştı. Bu modelde saldırganlar, kısa ömürlü ve sahte kod imzalama sertifikaları üreterek zararlı dosyaları güvenilir yazılım gibi paketledi. Sertifikaların yalnızca 72 saat geçerli olması, tespiti ve geri çağırmayı zorlaştıran bir katman daha ekledi.
Microsoft, bu yapının Rhysida fidye yazılımının dağıtımında kullanıldığını; ayrıca Oyster, Lumma Stealer ve Vidar gibi farklı kötü amaçlı yazılım ailelerinin de aynı ekosistemden beslendiğini aktardı. Bu tablo, tehdit aktörünün yalnızca tek bir zararlı aileye değil, daha geniş bir suç tedarik zincirine hizmet verdiğini gösteriyor.
İmza Hizmeti Nasıl Kötüye Kullanıldı?
Şirketin açıklamasına göre saldırganlar, Artifact Signing adı verilen ve daha önce Azure Trusted Signing olarak bilinen yönetilen imzalama altyapısını istismar etti. Normal şartlarda bu sistem, geliştiricilerin uygulamalarını güvenli biçimde imzalayıp dağıtmasına yardımcı oluyor. Ancak tehdit aktörü, çalıntı kimlik bilgileri ve sahte başvurularla bu süreci suistimal ederek güvenilir görünen sertifikalar elde etti.
Microsoft, sertifika alma sürecinde kimlik doğrulama ve doğrulanabilir kimlik bilgileri (verifiable credentials) kullanıldığını, bu nedenle saldırganların büyük olasılıkla ABD ve Kanada tabanlı çalıntı kimliklerle hareket ettiğini belirtti. SignSpace adı verilen web altyapısı da bu imzalama mekanizması üzerine kurulmuştu; yönetim paneli, kullanıcı sayfası, Azure abonelikleri ve yapılandırılmış bir veritabanı üzerinden dosya imzalama hizmeti sunuyordu.
Bu hizmetin müşterileri, kötü amaçlı dosyaları yükleyip imzalı sürümlerini geri alabiliyordu. Böylece zararlı yazılımlar AnyDesk, Microsoft Teams, PuTTY ve Cisco Webex gibi meşru araçları taklit eden paketler halinde dağıtılabildi. Hizmetin fiyatının 5.000 ila 9.000 dolar arasında değiştiği bildirildi.
Saldırı Zinciri ve Teknik Detaylar
Teknik açıdan bakıldığında bu operasyon, güven zincirini hedef alan bir aldatma modeli olarak öne çıkıyor. Saldırganlar önce sahte veya çalıntı kimliklerle imzalama erişimi elde ediyor, ardından zararlı dosyaları güvenilir sertifikalarla imzalıyor ve son aşamada bu dosyaları reklamlar, sahte indirme sayfaları ya da yönlendirme kuralları üzerinden kurbanlara ulaştırıyor. Bu yöntem, EDR ve e-posta güvenliği kontrollerini tek başına atlatmasa da, kullanıcı tarafında güven duygusu oluşturarak tıklama oranını artırabiliyor.
Microsoft’a göre Vanilla Tempest gibi gruplar, bu hizmetle imzalanmış ikilileri meşru satın alınmış reklamlar üzerinden dağıttı. Kullanıcılar Microsoft Teams araması yaptıklarında sahte indirme sayfalarına yönlendirildi ve buradan Oyster yükleyicisi devreye girdi. Oyster, modüler bir implant ve loader olarak Rhysida fidye yazılımının teslimatında kritik rol oynuyor.
Bu zincir, MITRE ATT&CK açısından T1588 benzeri kaynak edinme, T1553.002 benzeri kod imzası kötüye kullanımı, T1204 kullanıcı etkileşimi ve T1105 dış kanal üzerinden yük indirme gibi davranışlarla ilişkilendirilebilir. Kurumsal ağlarda bu tür kampanyalar çoğu zaman proxy günlükleri, DNS sorguları, uç nokta telemetrisi ve kimlik sağlayıcı kayıtları üzerinden iz bırakır.
Bulut ve Kurumsal Güvenlik Açısından Ne Değişti?
Microsoft, tehdit aktörünün Şubat 2026’dan itibaren müşterilere önceden yapılandırılmış sanal makineler sunmaya başladığını da açıkladı. Bu VM’ler Cloudzy üzerinde barındırılıyordu ve saldırganların gerekli dosyaları doğrudan kendi kontrol ettikleri altyapıya yükleyip imzalı ikilileri geri almalarına imkan veriyordu. Bu değişim, operasyonel sürtünmeyi azalttı ve saldırı sürecini daha ölçeklenebilir hale getirdi.
Bu tür bir mimari, bulut güvenliği ve IAM denetimleri açısından da önem taşıyor. Çünkü saldırganlar yalnızca zararlı dosya üretmiyor; aynı zamanda hesap oluşturma, sertifika talebi, VM erişimi ve dosya transferi gibi adımları da zincir halinde yönetiyor. Kurumlar için bu, anomali tespiti, oturum korelasyonu ve olağandışı coğrafi erişimlerin SIEM üzerinde birleştirilmesini daha da kritik hale getiriyor.
SOC ve Sistem Yöneticileri İçin Pratik Kontrol Listesi
Bu kampanya, özellikle imzalı ama güvenilmeyen yazılımları ayırt etmekte zorlanan kurumlar için önemli dersler içeriyor. Aşağıdaki kontroller, benzer operasyonlara karşı savunmayı güçlendirebilir:
1. Kod imzalı dosyalar için sertifika zincirini, yayın zamanını ve itibar skorunu EDR üzerinde ayrı bir politika ile doğrulayın.
2. Teams, AnyDesk, PuTTY ve benzeri sık taklit edilen araçlar için sahte indirme sayfalarını engelleyen DNS ve web filtreleme kuralları uygulayın.
3. Proxy, DNS, TLS ve endpoint telemetrisini SIEM’de birleştirerek kısa ömürlü sertifika kullanımını ve sıra dışı indirme kalıplarını korele edin.
4. Kimlik doğrulama günlüklerinde, yeni açılan hesaplar ve olağandışı ülke/IP eşleşmeleri için IAM anomali uyarıları kurun.
5. İmzalı dosyaların çalıştırılmasından önce sandbox analizi ve hash itibar kontrolü zorunlu hale getirin.
6. Ağ segmentasyonu ile kullanıcı uç noktalarını yönetim düzlemi ve kritik sunuculardan ayırın; özellikle fidye yazılımı yayılımını sınırlayın.
7. Olay müdahale planında sahte sertifika iptali, zararlı imajların karantinaya alınması ve reklam kaynaklı yönlendirmelerin kapatılması için hazır adımlar tanımlayın.
8. Bulut aboneliklerinde yeni VM, yeni sertifika ve yeni depolama hesabı oluşturma olaylarını ayrı ayrı alarm üretir şekilde izleyin.
Kurumsal Senaryo: Bir SaaS Sağlayıcısı Nasıl Etkilenebilir?
Bir SaaS sağlayıcısının çalışanı, uzaktan erişim aracı ararken sahte bir indirme sayfasına yönlendirildiğinde, imzalı görünen bir yükü çalıştırabilir. Dosya ilk bakışta güvenilir sertifikaya sahip olduğu için kullanıcı şüphelenmeyebilir; ancak arka planda loader, C2 altyapısına bağlanarak ek modülleri indirir ve kimlik bilgilerini toplar. Bu aşamadan sonra saldırganlar yatay hareket, ayrıcalık yükseltme ve veri sızdırma adımlarına geçebilir.
Böyle bir senaryoda en kritik savunma katmanları; uygulama kontrolü, makro ve script kısıtlamaları, tarayıcı tabanlı indirme denetimleri, EDR davranış kuralları ve düzenli yedekleme stratejisidir. Özellikle fidye yazılımı olaylarında, yedeklerin çevrimdışı tutulması ve geri yükleme testlerinin yapılması operasyonel süreklilik açısından belirleyicidir.
Microsoft’un Müdahalesi ve Sonraki Adımlar
Microsoft, operasyon kapsamında Fox Tempest’e ait signspace[.]cloud alan adını ele geçirdiğini, yüzlerce sanal makineyi çevrimdışı bıraktığını ve altyapıyı barındıran bir siteye erişimi engellediğini duyurdu. Şirket ayrıca, sahte hesapları devre dışı bırakma ve yasa dışı elde edilen sertifikaları iptal etme gibi karşı önlemler aldıkça tehdit aktörünün taktik değiştirdiğini belirtti. Mahkeme belgeleri, Microsoft’un Şubat-Mart 2026 döneminde hizmeti test etmek için işbirlikçi bir kaynakla çalıştığını da ortaya koyuyor.
Bu olay, saldırganların güvenilir yazılım görünümünü kötüye kullanmasının ne kadar etkili olabildiğini bir kez daha gösteriyor. İmzalı bir dosya, tek başına güvenli anlamına gelmiyor; kurumların karar mekanizması artık sertifika, davranış, ağ trafiği ve kimlik sinyallerini birlikte değerlendirmek zorunda. Özellikle e-posta güvenliği, bulut güvenliği ve olay müdahale süreçlerini birlikte ele alan kurumlar, bu tür kampanyalara karşı daha dayanıklı bir savunma hattı kurabilir.