Tomiris APT Grubu, Kamu Hizmetleri Üzerinden Gizli Komuta-Kontrol Yöntemlerini Geliştiriyor

Anasayfa » Tomiris APT Grubu, Kamu Hizmetleri Üzerinden Gizli Komuta-Kontrol Yöntemlerini Geliştiriyor
APT, Saldırı Analizi, Zararlı Yazılım
Aralık 3, 2025Aralık 3, 2025Tarafından Cybernews.TR
0
Tomiris APT Grubu, Kamu Hizmetleri Üzerinden Gizli Komuta-Kontrol Yöntemlerini Geliştiriyor

Saldırının Genel Çerçevesi

Tomiris adlı gelişmiş tehdit aktörü, özellikle Rusya ve Orta Asya ülkelerindeki dışişleri bakanlıkları, hükümetlerarası kuruluşlar ve devlet kurumlarını hedef alan siber saldırılar düzenliyor. 2021’den beri gözlemlenen bu kampanyalar, oltalama e-postaları ve şifre korumalı RAR dosyaları aracılığıyla zararlı yazılımların dağıtılmasıyla başlıyor. Saldırganlar, Rusça ve Orta Asya dillerinde hazırlanmış içeriklerle hedef kitleyi cezbetmeye çalışıyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanya, başlangıçta kullanıcıları makro içeren Microsoft Word belgeleri gibi görünen yürütülebilir dosyaları açmaya yönlendiriyor. Bu dosyalar, C/C++ ile yazılmış ters kabuklar aracılığıyla sistem bilgisi topluyor ve AdaptixC2 gibi açık kaynaklı komuta-kontrol (C2) çerçevelerini indiriyor. Ayrıca, Rust ve Python tabanlı zararlılar, Discord ve Telegram gibi popüler kamu hizmetlerini C2 kanalı olarak kullanarak iletişim kuruyor. Bu yöntem, kötü amaçlı trafiğin meşru hizmetlerle karışmasını sağlayarak tespit edilme ihtimalini azaltıyor.

Tomiris’in zararlı yazılım cephaneliğinde C#, Go, Rust ve C++ dillerinde yazılmış çeşitli ters kabuklar, arka kapılar ve SOCKS proxy’ler yer alıyor. Örneğin, Rust tabanlı JLORAT zararlısı komut çalıştırma ve ekran görüntüsü alma yeteneklerine sahipken, Python tabanlı Distopia arka kapısı Telegram ve Discord üzerinden komut alabiliyor ve ek yükleri indiriyor.

Hedefler ve Bölgesel Etki

Tomiris’in saldırıları, yüksek değerli siyasi ve diplomatik altyapıyı hedef alıyor. Özellikle Kazakistan merkezli Storm-0473 tehdit aktörüyle bağlantılı olduğu belirtilen grup, Orta Asya ülkeleri ile Rusya’daki devlet kurumlarını öncelikli hedef olarak seçiyor. Bu durum, bölgedeki kritik altyapıların ve hükümet sistemlerinin güvenlik risklerini artırıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • Phishing ve oltalama e-postalarına karşı gelişmiş e-posta güvenliği çözümleri kullanın.
  • Makro içeren dosyaların açılmasını kısıtlayarak kullanıcı eğitimlerini artırın.
  • EDR ve SIEM sistemlerinde Telegram, Discord ve benzeri kamu hizmetlerine yönelik anormal trafik tespiti için özel kurallar oluşturun.
  • Windows Kayıt Defteri değişikliklerini izleyerek kalıcılık sağlama girişimlerini tespit edin.
  • Çok faktörlü kimlik doğrulama (MFA) ve ağ segmentasyonu uygulayarak saldırı yüzeyini azaltın.
  • PowerShell ve VBScript gibi betiklerin yetkisiz kullanımını kısıtlayın ve loglarını düzenli olarak inceleyin.
  • APT saldırılarına karşı olay müdahale (incident response) planlarını güncel tutun ve tatbikatlar yapın.
  • Dosya indirme ve yürütme aktivitelerini kontrol eden IAM politikaları oluşturun.

Teknik Özet

  • Kullanılan Zararlılar: AdaptixC2, Havoc, Distopia, JLORAT, SUNSHUTTLE (GoldMax), Kazuar
  • Hedef Bölgeler: Rusya, Kazakistan, Türkmenistan, Kırgızistan, Tacikistan, Özbekistan
  • Kullanılan Yöntemler: Phishing, şifre korumalı RAR arşivleri, makro içeren yürütülebilir dosyalar, ters kabuklar, kamu hizmetleri üzerinden C2 (Telegram, Discord)
  • Saldırı Zinciri: Oltalama e-postası → Şifreli RAR → Makro veya yürütülebilir dosya → Ters kabuk kurulumu → C2 iletişimi → Ek implantların indirilmesi
  • Önerilen Savunma Yaklaşımları: E-posta güvenliği, EDR ve SIEM entegrasyonu, MFA, ağ segmentasyonu, betik kullanım kısıtlamaları, düzenli yama yönetimi
, , , , , , ,