Siber güvenlik alanında çığır açan yeni raporlar, Çin bağlantılı gelişmiş kalıcı tehdit grubu (APT) Webworm’un 2025 yılındaki faaliyetlerine ışık tutuyor. Bu grup, başlangıçta Asya ülkelerini hedef alırken, zamanla Avrupa ve Afrika’da artan faaliyetlerle siber saldırı sahnesinde öne çıkıyor. Webworm’un özellikle devlet kurumlarını ve yüksek değerli kurbanları hedef alması, devletler ve siber güvenlik uzmanları arasında büyük endişe yaratıyor.
Webworm’un en dikkate değer özelliği, C&C (komuta ve kontrol) iletişiminde kullandığı yenilikçi araçlar ve gizleme yöntemleri. Grup, Discord ve Microsoft Graph API gibi popüler platformları kullanarak iletişimini sürdürüyor. Bu platformlar sayesinde, saldırganlar veri sızdırma ve komuta işlemlerinde yüksek gizlilik sağlıyor. Ayrıca, grup yeni faaliyetlerinde, proxy çözümlerine ciddi yatırımlar yaparak, kurbanların güvenlik önlemlerini aşmaya devam ediyor.
### Discord ve Microsoft Graph API Kullanımı
İlk olarak Discord üzerinden iletişim kuran Webworm, burada çeşitli komutlar, dosya transferleri ve raporlar gönderiyor. Bu platformun esnekliği ve yaygın kullanımı sayesinde, tespiti zorlaşıyor. Ayrıca, Microsoft Graph API aracılığıyla da, özellikle OneDrive ve diğer Microsoft bulut hizmetlerini kullanarak erişim sağlıyor. Bu yöntem, C&C iletişimini daha da gelişmiş hale getirerek, saldırganların izlerini gizlemesine imkan tanıyor.
### Proxy Çözümleri ve Veri Sızdırma
Webworm, proxy teknolojileriyle kurbanların sistemlerine sızmayı kolaylaştırıyor. Mesela, WormFrp adlı özel proxy çözümü, saldırganların siber ortamda daha gizli hareket etmelerine olanak tanırken, aynı zamanda büyük veri sızıntısı olaylarının önünü açıyor. Grup, yaklaşık 20 yeni dosya yüklediği ve bunların bir kısmının devlet kurumlarından sızdırıldığı saptandı. Bu sızdırılan verilerin önemli bir bölümü, İspanya, Belçika, İtalya ve Polonya gibi ülkelerdeki devlet yapılarıyla ilişkili.
### AWS S3 Güvenliği ve Veri Sızdırma
Grupla ilgili kritik bir keşif, Amazon Web Services’in (AWS) S3 depolama çözümlerine dair yapılandırma hatalarını içeriyor. Webworm, AWS S3 bucket’ları üzerinden gizli veri sızdırma işlemleri gerçekleştiriyor. Bu sızıntılar, saldırganların, masum kurumları maskeleyerek, onları finansal yüklerin ve gizli bilgilerin aktığı, güvenliği ihlal edilmiş bulut ortamlarına yönlendiriyor. ESET araştırmacıları, bu yapılandırma zafiyetlerinin, saldırıların ana kapılarını oluşturduğunu belirtiyor.
### Güncel ve Yeni Aletler: EchoCreep ve GraphWorm
2025’te, Webworm yeni araçlar geliştirdi. Bunların arasında Discord tabanlı EchoCreep ve Microsoft Graph API tabanlı GraphWorm önemli yer tutuyor. EchoCreep, dosya yükleme ve komut alma işlemlerini Discord üzerinden gerçekleştirirken, GraphWorm ise OneDrive ve Outlook gibi servisler aracılığıyla iletişimi sürdürüyor.
### Proxy ve Gizlilik Yöntemleri
İki yeni aracı üst seviyede kullanılan, WormFrp ve ChainWorm, saldırganların gizlenme kabiliyetini katlayarak, saldırıların izlerini sürmeyi güçleştiriyor. Ayrıca, bu araçlar sayesinde saldırganlar, ağ altyapısında büyük bir gizli ağ kuruyorlar. Bu, özellikle devlet kurumlarına yönelik büyük tehditleri artırıyor, çünkü saldırganların hareket alanlarını genişletip, uzun süreli takip ve izleme imkanı sağlıyor.
### Veri İhlalleri ve Gelecek Planlar
Webworm, özellikle 2025 sonlarında ve 2026’nın başlarında, yeni sızdırma operasyonlarına devam ediyor. Bu operasyonlar sırasında, yaklaşık 20 yeni dosya hedeflere ulaştırıldı ve bazıları devlet kurumlarından sızdırıldı. Ayrıca, GitHub gibi merkezi platformlarda yeni dosya ve araçlar yayımlayarak, saldırgaların faaliyetlerini sürdüreceği öngörülüyor.
Güvenlik uzmanları ve devlet yetkilileri, Webworm’un yeni tekniklerine karşı önlem almaya başlamalı ve bu yöntemlere dikkat ederek, altyapılarını güçlendirmeli. SoftEther VPN ve diğer araçları kullanarak, saldırganların sızma ve gizlenme taktiklerine karşı bilinçli hareket etmek, saldırıların önlenmesinde büyük rol oynar.
İlk yorum yapan olun