Siber suçlular prosedürlerinde ince ayarlar yapmaya, yeni teknikler denemeye ve kampanyalar arasında taktik değiştirmeye devam ediyor. Dün işe yarayan yayınlar, bu davranışların bugün nasıl göründüğünü gözden kaçırabilir.
Tidal Cyber’ın 2025 Tehdit Odaklı Savunma Raporu, tehdit istihbarat platformu aracılığıyla toplanan on binlerce gözlemlenen teknik ve prosedürden yararlanıyor. Çalışma, kampanyalar, sektörler ve bölgeler genelinde düşman faaliyetlerini izliyor ve ardından bu aktiviteyi MITRE ATT&CK davranışlarıyla eşleştiriyor.
TTP evrimi, grupların yerinde uyum sağladığını gösteriyor
Saldırgan taktikleri, teknikleri ve prosedürleri aktif tehdit grupları içerisinde gelişmeye devam ediyor.
Void Rabisu, tek amaçlı operasyonlardan uzaklaşmayı gösteriyor. Faaliyet, fidye yazılımı odaklı kampanyalardan, telekom, enerji, askeri ve devlet kuruluşlarını içeren hedeflerle casuslukla uyumlu davranışlara doğru genişledi. Araştırmacılar, gelişmiş tekniklerin bulut ve kurumsal ortamlara karşı genişletilmiş kullanımı da dahil olmak üzere araç kullanımı, kimlik bilgilerine erişim ve tespitten kaçınma konularındaki değişiklikleri izledi.
2022’den 2025’e kadar Dağınık Örümcek faaliyeti, platformlar ve sektörler arasındaki istikrarlı genişlemeyi yansıtıyor. Grup, müşteri desteği ve iş süreçlerinde dış kaynak kullanan firmalardan perakende, teknoloji ve finans sektörlerine geçti. Analiz, Salesforce, Microsoft Teams, Slack, Confluence ve SharePoint’e erişim de dahil olmak üzere kapsamlı SaaS hedeflemesini gösteriyor. Araştırmacılar, Dağınık Örümcek aktivitesine bağlı 94 kümede 225 prosedür kaydetti.
Akira fidye yazılımı operasyonları 2025 yılına kadar uyum sağlamaya devam etti. Gözlemler arasında 165 prosedür gözlemi ve tanıdık komutların ince prosedür değişiklikleriyle birlikte yeniden kullanıldığına dikkat çekildi. Etkinlik, kimlik bilgilerine erişim, veri sızdırma ve kurtarma engellemesine odaklandı. Araçlar, AdFind, Net Group, SharpHound ve diğer yaygın kurumsal keşif yardımcı programlarını içeriyordu
Sıfır gün etkinliği dışarıya doğru yayılıyor
Sıfır gün istismarları bir zamanlar çoğunlukla devlet destekli operasyonlarda ortaya çıkıyordu. 2025 verileri, suç ve hibrit aktörler arasında daha geniş çapta benimsendiğini gösteriyor. Rapor, bilinen veya şüphelenilen sıfır gün istismarıyla ilişkili 58’den fazla tehdit nesnesini tanımlıyor.
Çeşitli kampanyalar bu eğilimi göstermektedir. Çin bağlantılı gruplar, SharePoint ortamlarındaki güvenlik açıklarından geniş ölçekte yararlandı. Başka bir kampanya, Aralık 2024’ten itibaren Ivanti VPN sistemlerinin kötüye kullanılmasıyla ilgiliydi. Finansal motivasyona sahip aktörler de, bulut altyapısının tehlikeye atılmasıyla bağlantılı gasp planlarında çalınan verileri koz olarak kullanarak alana girdi.
Raporda sıfır gün kullanımı metalaştırılmış olarak tanımlanıyor. İstismarlar hızla keşfedilmeden aktif kötüye kullanıma geçer. Bu, savunmacının tepki pencerelerini haftalardan günlere sıkıştırır. Erken tespit, güvenlik açığı açıklamalarını veya yamaları beklemek yerine, kötüye kullanıma bağlı davranışların belirlenmesine bağlıdır.
Sosyal mühendislik yeniden zemin kazanıyor
Sosyal mühendislik, 2025 yılında birincil izinsiz giriş yolu olarak yeniden ön plana çıktı. Rapor, bu yeniden canlanmayı otomasyon ve yapay zeka ile ilişkilendiriyor. Saldırganlar, inanılırlığı artırırken kimlik avını, sesli aramaları ve kimlik bilgisi toplamayı ölçeklendirmek için yapay zeka araçlarını kullanır.
Kimlik birincil hedef haline geldi. Kampanyalar SaaS erişimine, bulut yönetimine ve tek oturum açmanın kötüye kullanılmasına odaklandı. Luna Moth, basit geri arama kimlik avından ses, e-posta ve altyapı kontrolünü birleştiren çok kanallı işlemlere dönüştü. UNC6040, kimliğe bürünme ve rızanın kötüye kullanılması yoluyla Salesforce ortamlarını hedef alarak, kötü amaçlı yazılım dağıtımı olmadan büyük ölçekli veri erişimine olanak sağladı.
Çalışma, 18 yazılım platformuna yayılmış, sosyal mühendislik faaliyetleriyle bağlantılı 35 prosedürü vurguluyor. Bu prosedür görünürlüğü, analistlerin kampanyaları erkenden birbirine bağlamasına ve uç nokta savunmalarını tamamen atlayan saldırı zincirlerini belirlemesine yardımcı oldu.
Fidye yazılımı parçalanıyor ve çoğalıyor
Fidye yazılımı operasyonları parçalanmaya ve çeşitlenmeye devam etti. Raporda yıl boyunca 54 fidye yazılımı grubu ve ilgili kuruluş takip edildi ve ortaya çıkan 16 grup belirlendi. Analistler, fidye yazılımı prosedürünün görüldüğü vakaların %92’sinin daha önce gözlemlenen faaliyetlerle kümelendiği, gruplar arası prosedürlerin kapsamlı bir şekilde yeniden kullanıldığını gözlemledi.
Şifreleme birçok operasyonun bir parçası olmaya devam etti, ancak şantaj daha çok veri hırsızlığına, kimliğin ele geçirilmesine ve iş kesintisine dayanıyordu. Medusa, Qilin ve Interlock gibi gruplar, baskıyı artırmak için yedeklemeleri, bulut varlıklarını ve kimlik sistemlerini hedef alarak ikili ve üçlü gasp iş akışlarını benimsedi.
Küçük takımlar daha hızlı hareket etti. Bu gruplar, altyapı yükünü azaltmak için çok platformlu araçları, bulutun kötüye kullanımını ve arazide yaşama tekniklerini benimsedi. Araştırma, kötü amaçlı yazılım aileleri yerine prosedürler tarafından yönlendirilen fidye yazılımı faaliyetini gösteriyor ve bu da davranışsal kapsamı savunmanın merkezi haline getiriyor.
Davranış katmanında kapsam boşlukları görünüyor
Bulgular arasında öne çıkan temalardan biri prosedür düzeyinde savunma boşluklarının varlığıdır. Pek çok kuruluş teknikleri ve araçları takip ederken amacı işaret eden yürütme ayrıntıları daha az dikkat çeker. Araştırma, gözlemlenen prosedürleri doğrudan tespit ve önleme kontrollerine bağlayarak kapsamın nerede geçerli olduğunu ve nerede bozulduğunu gösteriyor.
Bu yaklaşım, gözlemlenen aktivite yoluyla doğrulamaya odaklanır. Kontrollerin saldırgan davranışıyla eşleştirilmesi, uyarıların canlı izinsiz girişler sırasında mı yoksa yalnızca test sırasında mı tetiklendiğini gösterir. Veriler, temel teknik aynı kalsa bile, saldırganlar yürütme adımlarını değiştirdiğinde kontrollerin etkinleşemediğini gösteriyor.
“Güç, durdurabileceğiniz düşman davranışlarıyla ölçülecek ve bu, saldırganların nasıl hareket ettiği ve kullandıkları tekniklerle başlıyor.” dedi Tidal Cyber CEO’su Rick Gordon.