Ortaya Çıkan: Şüpheli Fidye Yazılımı Grubu Kampanyasıyla Bağlantılı Yazımlı Etki Alanları
Akşaya Asokan (asokan_akshaya) •
28 Kasım 2025
Çoğunlukla gençlerden oluşan ve büyük firmaların aksamalarıyla bağlantılı olan Batılı bir siber suç topluluğu, yeni bir büyük ölçekli saldırı turuna hazırlanıyor gibi görünüyor.
Ayrıca bakınız: Geleneksel M365 Veri Koruması Artık Yeterli Değil
Siber güvenlik firması ReliaQuest’in bir raporuna göre, meşru Zendesk URL’lerini taklit etmek üzere tasarlanmış ve son zamanlarda kendisine Scattered Lapsus$ Hunters adını veren bilgisayar korsanlığı topluluğuna kadar uzanan 40’tan fazla “yazım hatası yapılmış ve kimliğine bürünen alan adı” keşfedildi.
Yazım hatası yapılan alan adları son altı ayda ortaya çıktı ve müşteri hizmetlerine ve satış platformuna erişim için meşru kimlik doğrulama bilgilerini çalmak üzere tasarlanmış, Zendesk için sahte tek oturum açma portalları içeren kimlik avı sayfalarına yol açtı. “Bu alanlar, örneğin znedesk.com veya vpn-zendesk.comaçıkça meşru Zendesk ortamlarını taklit edecek şekilde tasarlandı” dedi.
Odaklanmanın yanı sıra kullanılan taktiklere de dayanarak araştırmacılar, Zendesk kullanıcı hedefleme kampanyasını Dağınık Lapsus$ Avcılarına bağlıyor.
ReliaQuest, “Bu öğeler, Ağustos ayında müşteri ilişkileri yönetimi platformu Salesforce’u hedef alan son Scattered Lapsus$ Hunters kampanyasını anımsatıyor. Ağustos kampanyasını araştırırken ortaya çıkardığımız alan adları, Zendesk alan adlarıyla benzerlikler taşıyordu” dedi (bkz.: Fidye Yazılımı Grubu, Salesforce Müşteri Veri Sızıntı Sitesini Kullanıma Sunuyor).
Uzmanlar, gevşek örgülü siber suç grubunun “The Community” veya “The Com” olarak bilinen kolektifin bir yan ürünü olduğunu ve büyük ölçüde Batı merkezli ergen hackerlardan oluştuğunu söylüyor. Çoğunlukla anadili İngilizce olanlardan oluşan grup üyelerinin birçoğu, yardım masası personelini kandırmak, şifreleri sıfırlamalarına, çok faktörlü kimlik doğrulama kontrollerini atlamalarına ve kurbanın ortamına erişim sağlamalarına izin vermek de dahil olmak üzere sosyal mühendislik konusunda usta olduklarını kanıtladı.
Müşteri veri depoları, grubun tekrarlanan hedeflerinden biri olmaya devam ediyor. Ağustos ayındaki kampanyada saldırganlar, Drift Email AI sohbet robotu yazılımını Salesforce ile entegre etmek için Salesloft’tan OAuth tokenlarını çaldı. Suçlular, çalınan tokenları, Salesloft yazılımlarını Salesforce örnekleriyle entegre eden 760 farklı kuruluştan veri çalmak için kullandı.
Daha yakın bir zamanda, Scattered Lapsus$ Hunters alt grubu Shiny Hunters, yine çalıntı erişim tokenları kullanılarak veri yönetimi aracı Gainsight’ın hedeflenmesine kadar giden bir saldırıda Salesforce örneklerinden veri çalma sorumluluğunu üstlendi. Bu kampanyada 300 kuruluşun mağdur olduğu görülüyor (bkz: Salesforce Kazanımını Hedefleyen Tedarik Zinciri Saldırısının Ayrıntıları).
5 Kasım’da siber suç grubunun sözde bir üyesi, X sosyal platformuna yaptığı bir gönderide, en az üç veya dört büyük kampanyanın daha sürdüğünü iddia etti.
Bunlar yakın zamanda Zendesk müşterilerini hedef alan ilk saldırılar değil. EclecticIQ Siber Tehdit İstihbaratı Analisti Arda Büyükkaya, 1 Kasım’da 600 farklı alan adının siteye nasıl kaydedildiğini anlattı. .dev Google Registry tarafından yönetilen üst düzey alan adı, Cloudflare ve Zendesk de dahil olmak üzere “tanınmış markaların müşteri destek portallarını taklit etmek için yazım hatası kullanıyordu”.
“Onların öncelikli amacı, hassas verileri ve hesap kimlik bilgilerini çalmak için uzaktan erişim elde etmek ve sonuçta finansal olarak motive edilmiş hesap ele geçirme ve dolandırıcılığa olanak sağlamaktır” dedi.
Büyükkaya, yazım hatası yapılan sitelerin içeriklerinin yapay zeka tarafından üretilmiş gibi göründüğünü ve “teknik yardım sağlama bahanesi altında mağdurların telefon numarasını ve e-posta adreslerini soran bir insan operatörün görev yaptığı yerleşik bir canlı sohbet arayüzü” içerdiğini ve bunun ardından saldırganın, saldırgana “cihaza tam uzaktan erişim” sağlayan yasal uzaktan izleme yazılımını yüklemesi için kurbanı kandırmaya çalıştığını söyledi.
Bu keşif, Eylül ayında Discord’un bilgisayar korsanlarının Zendesk tabanlı destek sistemini hedef aldığını söylemesinin ardından geldi. Bleeping Computer’ın haberine göre, bilgisayar korsanları isimler, e-posta adresleri, fatura bilgileri, IP adresleri ve devlet tarafından verilen kimlikler dahil olmak üzere hassas kullanıcı verilerini çaldıklarını iddia etti.
ReliaQuest, “ortaya çıkardığımız Zendesk ile ilgili altyapının büyük olasılıkla bu kampanyalardan birinin parçası olduğunu” söyledi ve kuruluşlara, önümüzdeki aylarda CRM ve müşteri destek sistemlerini hedef alan Dağınık Lapsus$ Avcıları tarafından yapılacak başka saldırılara karşı dikkatli olmalarını tavsiye etti.