2025’in ilk yarısı boyunca FortiGuard Olay Müdahale ekibi, finansal motivasyona sahip tehdit aktörlerinin gerçekleştirdiği birden fazla sektördeki düzinelerce güvenlik ihlalini araştırdı.
Bu araştırmaların sonucunda çarpıcı bir model ortaya çıktı: Saldırganlar, karmaşık, kötü amaçlı yazılım ağırlıklı yaklaşımları terk edip yanıltıcı derecede basit bir yönteme yöneliyor; yalnızca çalıntı kimlik bilgilerini kullanarak oturum açmak ve normal iş operasyonlarına sorunsuz bir şekilde uyum sağlamak için meşru uzaktan erişim araçlarından yararlanmak.
Bu değişim, modern siber suçluların çalışma biçiminde temel bir değişikliği temsil ediyor. Finansal motivasyona sahip rakipler, karmaşık implantlar veya sıfır gün açıklarından yararlanmaları uygulamak yerine, savunucuların genellikle gözden kaçırdığı geçerli kullanıcı hesapları ve uzaktan yönetim yazılımı gibi araçları silah haline getiriyor.
Bulgular, 2025 yılının ilk yarısına ait FortiRecon Tehdit İstihbaratı Raporu verileriyle yakından uyumlu olup, harici kimlik bilgilerine maruz kalma eğilimlerinin, çeşitli endüstri sektörlerindeki aktif olay müdahale çalışmaları sırasında gözlemlenen eğilimleri yansıttığını göstermektedir.
Araştırılan vakaların çoğunda ilk erişim vektörü tutarlı bir taktik kitabını takip etti. Saldırganlar, kimlik bilgileri toplayan kimlik avı kampanyaları, şifrelerin yeniden kullanılması yoluyla veya güvenliği ihlal edilmiş hesapları İlk Erişim Aracılarından son derece düşük fiyatlara satın alarak geçerli kimlik bilgileri elde etti.
Geliri 100 milyon dolardan az olan kuruluşlar için çalınan kimlik bilgilerinin maliyeti, gelişmekte olan ekonomilerde 100-500 ABD doları kadar düşük bir maliyete sahip olup, bu saldırı vektörünü tehdit aktörleri için ekonomik olarak karşı konulamaz hale getiriyor.
Saldırganlar, kurban ağlarına girdikten sonra dayanak oluşturmak için çok faktörlü kimlik doğrulama olmadan yapılandırılmış VPN hizmetlerinden yararlandı.
Özellikle endişe verici bir bulgu, kalıcılığı korumak için meşru örneklerin yanı sıra yüklenen meşru uzaktan yönetim araçlarının (AnyDesk, Splashtop, Atera ve ScreenConnect) yaygın şekilde kullanılmasıydı. Bu tekniğin yıkıcı derecede etkili olduğu kanıtlandı çünkü güvenlik ekipleri genellikle kötü amaçlı araç dağıtımlarını meşru BT operasyonlarından ayırmakta zorlanıyor.
Manuel İşlemler ve Gizlilik
Bu izinsiz girişleri diğerlerinden ayıran şey manuel, operatör odaklı yaklaşımdı. Tehdit aktörleri, RDP, SMB ve WinRM gibi yerleşik araçları kullanarak ağlar arasında düzenli bir şekilde hareket ederek rutin idari faaliyetlere benzeyen keşifler gerçekleştirdi.
Dikkate değer bir vakada, çalınan etki alanı yöneticisi kimlik bilgilerine sahip bir saldırgan, kurbanın VPN’sine MFA olmadan erişti, ardından Grup İlkesi ve RDP oturumları aracılığıyla AnyDesk’i sistemlere dağıtarak meşru BT trafiğine izinsiz girişi etkili bir şekilde gizledi.
Veri sızması da benzer şekilde abartısız bir yol izledi. Saldırganlar, algılama uyarılarını tetikleyen otomatik sızma mekanizmalarını kullanmak yerine, hassas verileri manuel olarak doğrudan altyapılarına aktarmak için uzaktan yönetim araçlarının sürükle ve bırak özelliklerini kullandı.
Bu yaklaşım, minimum düzeyde adli eser bırakarak, tespitin geleneksel sızma tekniklerine göre önemli ölçüde daha zor olmasını sağlar.
Bu saldırı metodolojisinin yaygınlığı, kritik bir savunma açığını yansıtıyor. Gizlilik çok önemlidir; güvenlik ekipleri katı davranışsal temelleri ve anormallik tespitini sürdürmediği sürece, saldırgan faaliyet meşru kullanıcı davranışından ayırt edilemez.
Çoğu uç nokta algılama ve yanıt çözümü, birden fazla sisteme yayılan kimlik tabanlı anormallikler yerine kötü amaçlı yazılım imzalarına ve uç nokta davranışına odaklanır.
Ek olarak, yürütmenin önündeki düşük beceri engeli, bu saldırıları geniş çapta erişilebilir kılmaktadır. Kimlik bilgileri çalınan bir saldırganın, hedeflere ulaşmak için minimum düzeyde teknik uzmanlığa ihtiyacı vardır ve yalnızca VPN erişimi ve temel RDP navigasyonu hakkında bilgi sahibi olmayı gerektirir.
Bu durum, yeraltı pazarındaki kimlik bilgilerinin uygun fiyatlılığıyla birleştiğinde, farklı karmaşıklık seviyelerindeki tehdit aktörleri için cazip bir giriş noktası oluşturuyor.
Kimlik Bilgisine Dayalı Saldırılara Karşı Savunma
Etkili savunma, kimlik merkezli güvenlik stratejilerine doğru temel bir değişimi gerektirir. Kuruluşların, dahili ağlar ve VPN altyapısı da dahil olmak üzere tüm erişim noktalarında çok faktörlü kimlik doğrulamasını zorunlu kılması gerekir.
Davranışsal izleme, imkansız seyahat senaryolarını, eşzamanlı çoklu sistem girişlerini ve normal operasyonlarla tutarsız erişim modellerini işaretlemelidir.
Ek olarak, uzaktan yönetim araçlarının açıkça kısıtlanması ve izlenmesi (dağıtım ve ağ etkinliklerine yönelik tespit mekanizmalarıyla birlikte) kötü amaçlı operasyonlara yönelik kritik görünürlük sağlar.
Bu araştırmalarla pekiştirilen rahatsız edici gerçek değişmeden kalıyor: En tehlikeli ihlal genellikle hiçbir ihlalin yaşanmamasını, yalnızca bir saldırganın çalınan kimlik bilgileriyle başarılı bir şekilde oturum açmasını içerir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.