OAuth Yönlendirme Kötüye Kullanımıyla Hükümet Hedeflerine Zararlı Yazılım Saldırısı

Anasayfa » OAuth Yönlendirme Kötüye Kullanımıyla Hükümet Hedeflerine Zararlı Yazılım Saldırısı
APT, Kimlik Yönetimi, Zararlı Yazılım
Mart 3, 2026Mart 3, 2026Tarafından Cybernews.TR
0
OAuth Yönlendirme Kötüye Kullanımıyla Hükümet Hedeflerine Zararlı Yazılım Saldırısı

Saldırının Genel Çerçevesi

OAuth protokolündeki URL yönlendirme özelliği, kimlik sağlayıcılarının kullanıcıları belirli açılış sayfalarına yönlendirmesine olanak tanıyor. Ancak bu meşru işlev, son dönemde saldırganlar tarafından kötüye kullanılarak hükümet ve kamu sektörü kuruluşlarını hedef alan bir oltalama kampanyasında kullanıldı. Tehdit aktörleri, kendi kontrol ettikleri tenantlarda oluşturdukları kötü amaçlı uygulamalar aracılığıyla kullanıcıları zararlı yazılım barındıran sahte domainlere yönlendiren URL’ler hazırlıyor.

Kampanya kapsamında, kullanıcılar geçersiz kapsam parametreleriyle kimlik doğrulaması yapmaya ikna edilerek cihazlarına zararlı yazılım yükleniyor. Bu zararlı yükler genellikle ZIP arşivleri içinde dağıtılıyor ve açıldığında PowerShell komutları, DLL yan yükleme teknikleri ve fidye öncesi müdahale faaliyetleri tetikleniyor.

Saldırı Zinciri ve Teknik Detaylar

Saldırı zinciri şu adımlardan oluşuyor:

  • Kötü amaçlı OAuth uygulaması, tehdit aktörünün kontrolündeki tenantta oluşturuluyor.
  • Uygulama, zararlı yazılım içeren sahte domaine işaret eden yönlendirme URL’siyle yapılandırılıyor.
  • Kurbanlara, geçersiz kapsam parametresi içeren OAuth kimlik doğrulama bağlantıları e-posta yoluyla gönderiliyor.
  • Kullanıcılar bu bağlantıya tıklayınca, istemeden cihazlarına zararlı yazılım yükleniyor.
  • ZIP arşivinden çıkarılan Windows kısayolu (LNK) PowerShell komutları çalıştırıyor ve MSI yükleyici aracılığıyla kötü amaçlı DLL yan yükleniyor.
  • Yan yüklenen DLL, şifrelenmiş dosyayı açarak bellekte zararlı kodu çalıştırıyor ve harici C2 sunucusuna bağlantı kuruyor.

Bu saldırılarda kullanılan teknikler arasında PowerShell yürütme, DLL yan yükleme ve komut kontrol iletişimi (C2) bulunuyor. Ayrıca, saldırganlar e-posta kampanyalarında sosyal güvenlik, finansal ve politik temalar kullanarak kullanıcıların güvenini kazanmayı hedefliyor.

Hangi Sistemler Risk Altında?

Özellikle hükümet ve kamu sektörü kuruluşları hedeflenen bu saldırılar, Entra ID ve Google Workspace gibi yaygın kimlik sağlayıcıları üzerinden gerçekleştiriliyor. Bu durum, kurumsal kimlik ve erişim yönetimi (IAM) altyapısına sahip organizasyonların risk altında olduğunu gösteriyor. Ayrıca, saldırganların kullandığı teknikler geleneksel e-posta güvenliği önlemlerini aşacak şekilde tasarlandığından, SOC ekiplerinin gelişmiş tehdit tespiti ve olay müdahale (incident response) süreçlerini güçlendirmesi gerekiyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • Kullanıcı onaylarını sınırlayarak sadece güvenilir uygulamaların erişim izni almasını sağlayın.
  • OAuth uygulama izinlerini düzenli aralıklarla gözden geçirin ve gereksiz veya aşırı ayrıcalıklı izinleri kaldırın.
  • EDR ve SIEM çözümlerinde OAuth yönlendirme URL’leri ve anormal kimlik doğrulama aktiviteleri için özel kurallar oluşturun.
  • Çok faktörlü kimlik doğrulama (MFA) uygulayarak kimlik tabanlı saldırıların etkisini azaltın.
  • Gelen e-postalarda state parametresi gibi kodlanmış verilerin kötüye kullanımına karşı analiz ve filtreleme yapın.
  • Fidye yazılımı ve zararlı yüklerin tespiti için dosya açma ve yürütme işlemlerini izleyin.
  • Olay müdahale süreçlerinde PowerShell komutlarının anormal kullanımını takip edin.
  • Ağ segmentasyonu ile kritik sistemlerin doğrudan internet erişimini sınırlandırın.

Teknik Özet

  • Kullanılan zararlılar ve araçlar: PowerShell, DLL yan yükleme (crashhandler.dll), MSI yükleyici, Windows LNK dosyası.
  • Hedef sektörler: Hükümet ve kamu sektörü kuruluşları.
  • Kullanılan zafiyetler: OAuth URL yönlendirme mekanizmasının kötüye kullanımı, kimlik tabanlı oltalama teknikleri.
  • Saldırı zinciri: OAuth uygulaması oluşturma → Kötü amaçlı yönlendirme URL’si → OAuth kimlik doğrulaması → ZIP arşivi ve PowerShell komutları → DLL yan yükleme → C2 iletişimi.
  • Önerilen savunma yaklaşımları: MFA, IAM politikalarının sıkılaştırılması, EDR ve SIEM entegrasyonları, kullanıcı eğitimi, ağ segmentasyonu.

Bu saldırıların karmaşık yapısı, bulut güvenliği ve kimlik yönetimi alanlarında yeni tehditlerin ortaya çıktığını gösteriyor. Kurumsal ortamların, özellikle OAuth tabanlı kimlik doğrulama süreçlerini yakından izlemesi ve güvenlik politikalarını güncellemesi gerekiyor.

, , , , , , ,