Storm-1175 Grubu, Medusa Fidye Yazılımını Sıfırıncı Gün Açıklarıyla Hızla Yaymaya Çalışıyor

Anasayfa » Storm-1175 Grubu, Medusa Fidye Yazılımını Sıfırıncı Gün Açıklarıyla Hızla Yaymaya Çalışıyor
APT, Fidye Yazılımı, Siber Tehditler
Nisan 7, 2026Nisan 7, 2026Tarafından Cybernews.TR
0
Storm-1175 Grubu, Medusa Fidye Yazılımını Sıfırıncı Gün Açıklarıyla Hızla Yaymaya Çalışıyor

Çin bağlantılı Storm-1175 tehdit grubu, Medusa fidye yazılımını hızla yaymak için sıfırıncı gün açıklarından faydalanan yeni bir kampanya yürütüyor. Bu saldırılar, özellikle finans, üretim ve kritik altyapı sektörlerinde faaliyet gösteren kurumları hedef alıyor. Son birkaç ayda gözlemlenen operasyonlarda, grup yüksek operasyonel tempo ve gelişmiş keşif teknikleri kullanarak hedef sistemlerdeki zafiyetleri hızlıca tespit edip istismar ediyor.

Saldırı Zinciri ve Teknik Detaylar

Storm-1175’in saldırı zinciri genellikle şu adımlardan oluşuyor:

  • Başlangıç: Hedeflere yönelik kimlik avı (phishing) e-postaları ile zararlı makrolar veya kötü amaçlı bağlantılar gönderiliyor.
  • Zafiyet İstismarı: Sıfırıncı gün açıkları (zero-day) kullanılarak, özellikle Microsoft Exchange ve RDP servislerinde bulunan kritik CVE’ler hedefleniyor. Örneğin, CVE-2024-XXXX gibi henüz yamalanmamış güvenlik açıkları üzerinden sistemlere sızılıyor (NVD Link).
  • Yanal Hareket ve Komuta Kontrol: AsyncRAT ve benzeri uzaktan erişim araçları (RAT) ile iç ağda hareket edilerek, kritik varlıklar keşfediliyor ve kontrol altına alınıyor.
  • Fidye Yazılımı Yüklemesi: Medusa fidye yazılımı, MCP istemcisi ve Pydantic AI destekli otomasyonlarla hedef sistemlere yüklenip, dosyalar şifreleniyor.

Hangi Sistemler Risk Altında?

Özellikle güncellenmemiş Microsoft Exchange sunucuları, açık RDP portları ve zayıf kimlik doğrulama mekanizmalarına sahip kurumsal ağlar risk altında. Ayrıca, konteyner ortamlarında rastgele açılan SSH portları ve eksik IAM politikaları da saldırganların hareket alanını genişletiyor.

Siber Güvenlik Ekipleri İçin Pratik Öneriler

  • E-posta güvenliği çözümlerini güçlendirerek kimlik avı saldırılarını engelleyin.
  • Tüm sistemlerde kritik yamaları ve özellikle sıfırıncı gün açıklarını hızla uygulayın.
  • EDR ve SIEM sistemlerinde Medusa ve AsyncRAT davranışlarını tespit edecek kurallar oluşturun.
  • Ağ segmentasyonu ile kritik varlıkları izole edin ve lateral hareketi zorlaştırın.
  • MFA (Çok Faktörlü Kimlik Doğrulama) kullanarak RDP ve diğer erişim noktalarını koruyun.
  • Olay müdahale (incident response) planlarını güncel tutarak hızlı aksiyon alın.
  • Log türlerini çeşitlendirerek anormal aktiviteleri erken tespit edin.
  • Konteyner ve bulut güvenliği politikalarını gözden geçirip, rastgele port açılmasını engelleyin.

Kurumsal Senaryo: Finans Sektöründe Risk

Örneğin, bir finans kurumu, güncellenmemiş Exchange sunucusundaki sıfırıncı gün açığını kullanarak Storm-1175 tarafından hedeflenebilir. Başarılı bir kimlik avı saldırısı sonrası AsyncRAT ile iç ağa sızan saldırganlar, yanal hareketle kritik sunucuları ele geçirip Medusa fidye yazılımını dağıtabilir. Bu durum, finansal verilerin şifrelenmesi ve operasyonların durmasıyla sonuçlanabilir.

Bu tür saldırılara karşı kurumların e-posta güvenliği, ağ segmentasyonu ve olay müdahale süreçlerini güçlendirmesi hayati önem taşıyor.

, , , , , , ,