Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, fidye yazılımı
Çin bağlantılı fidye yazılımı hackerları ve diğerleri tarafından tehlikeye atılan 145 kuruluş
Mathew J. Schwartz (Euroinfosec) •
29 Temmuz 2025
Saldırganlar yüzlerce şirket içi SharePoint sunucularına enfekte etti ve bazı durumlarda fidye yazılımı Warlock’un saldırılarını kışkırtan sıfır gün güvenlik açıklarından yararlandı.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Hollanda Siber Güvenlik Firması Göz Güvenliği ilk olarak 18 Temmuz’da geç saatlerde, şirket içi SharePoint yazılımında iki kusuru hedefleyen saldırıları, şimdi CVE-2025-53770 ve CVE-2025-53771 olarak izlendi ve araç kutusu olarak biliniyordu.
Altı günlük internet taramalarına dayanarak – 18 Temmuz’dan Çarşamba’ya – Eye Security, 27.000 şirket içi SharePoint sunucularını saydığını söyledi. Bu sunucuların en az 396’sının – 41 ülkedeki 145 benzersiz kuruluşta – tehlikeye atıldığını doğruladı.
“Verilerden, bunun rastgele veya fırsatçı bir kampanya olmadığı açıktır.” Dedi. “Saldırganlar tam olarak ne aradıklarını biliyorlardı.”
Microsoft, güvenlik açıklarının bilinen siber bekârlık, fikri mülkiyet hırsızlığı ve fidye yazılımı gruplarından yararlandığını söyledi (bkz:: Microsoft, şirket içi SharePoint istismarlarını Çin’e izler).
Microsoft, Çin bağlantılı üç farklı saldırganın istismar zincirini yamaları çıkarmadan önce hedeflediğini söyledi. Keten tayfun olarak izlenen iki ulus-devlet grubu, yani Apt27, Fikri Mülkiyet, Violet Typhoon, AKA APT31 ve Siber Hassasiyet yürüten Yargı Panda’yı çalmaya odaklanan Emissary Panda içeriyordu. Üçüncüsü, Storm-2603 olarak “Çin merkezli bir aktör” Microsoft parçalarıydı.
Microsoft’un Güvenlik Araştırma Grubu, Storm-2603’ün araç kablosunu kullandığını, daha sonra Warlock Fidye yazılımıyla enfekte olan hedefleri buldu. Araştırmacılar, Warlock’un önceki saldırılarda Lockbit ve Warlock fidye yazılımlarını kullandığını gördüklerini söyledi.
Warlock, hizmet olarak fidye yazılımı olarak çalıştırılmış gibi görünen nispeten yeni bir gruptur. Fırtına-2603 aktivite kümesi, grubun sahiplerine ve operatörlerini izlemiş olsun, ister operatörlere ödenen her fidye kesintisi vermek karşılığında fidye yazılımlarını kiralayan bir işletme iştiraki net değildir.
Kayıtlı Gelecekte Tehdit İstihbarat Analisti olan Allan Liska, 10 Haziran’dan itibaren Warlock’un ilk işaretlerinin 10 Haziran’dan beri. Grubun Rus siber suç forumu rampasına “Lamborghini isterseniz, lütfen benimle iletişime geçin.”
Tehdit istihbarat firması Kela’nın Siber İstihbarat Merkezi, bilgi güvenliği medyası grubuna 10 Haziran’da Warlock’un veri sızıntısı alanına 10 tanımlanmış kurban ve “en çok profesyonel hizmetler, imalat ve hükümet/kamu hizmetleri gibi sektörlerle bağlantılı” tanımlanmamış kurbanları yayınladığını söyledi.
Bu kurbanların meşru olup olmadığı ve kaçıncası kurbanın fidye ödemiş olabileceği açık değildi. Fidye yazılımı grupları, kurbanlarının kimliğini düzenli olarak yalan söyler veya yanlış adlandırır ve tipik olarak hızlı bir şekilde ödenen kurbanların isimlerini atlar (bkz: Fidye Yazılım Gruplarının Veri Sızıntı Blogları Yalan: Onlara Güvenmeyi Durdurun).
Warlock’un Tor veri sızıntısı sitesi 18 Haziran’a kadar çevrimdışı gitti, ancak o zamandan beri bir müzakere portalı durdu ve başka bir yeni başlattı .onion Kela, “Warlock sızdırılmış veri şovu” başlıklı veri sızdırmazlık blogu, dedi Kela.
Gezegeni kesmek
Saldırılar ortaya çıktığında Microsoft hızla hareket etti. 19 Temmuz’da Toolshell hakkındaki ilk güvenlik uyarısını yayınladı. Şirket, SharePoint Server Abonelik Sürümü için Yamalar ve 20 Temmuz’da 2019’u yayınladı ve ardından 21 Temmuz’da SharePoint Server 2016 için bir yama, etkilenen tüm ürünlerdeki güvenlik açıklarını azaltmak için güncellenmiş müşteri rehberliğinin yanı sıra.
Göz güvenliği verileri, toplamın% 18’inde çok sayıda etkilenen kuruluşun Amerika Birleşik Devletleri’ndeydi, bunu% 8 ile Mauritius,% 7 ile Almanya ve Fransa, İspanya, Hollanda ve Birleşik Krallık’ın her biri% 3 ila% 5 oranında oluşturuyor.
Genel olarak, saldırganlar devlet kurumlarına en zor olan, bilinen kurbanların% 30’unu oluşturdu, bunu% 13 oranında eğitim sektörü,% 9’da hizmet olarak yazılım sağlayıcıları ve telekomünikasyon ve güç şebekesi operatörlerini her biri% 4 ile takip ettiler.
Kurbanlar, ülkenin nükleer silahlarını koruyan ve tasarlayan yarı özerk Ulusal Nükleer Güvenlik İdaresi de dahil olmak üzere ABD Enerji Bakanlığı’nı içeriyor. Hükümet, saldırının hassas veya sınıflandırılmış verileri ortaya çıkarmadığını söyledi (bkz:: ABD nükleer ajansı ihlali, SharePoint Zero-Days’e bağlı).
Güvenlik araştırmacıları, ulus devlet gruplarının ve siber suç kıyafetlerinin şu anda benimseyebileceği 21 Temmuz’a kadar kavram kanıtı istismar kodu yayınladı.
Microsoft yamaları ittikten sonra bile, göz güvenliği enfeksiyonların arttığını söyledi, bu da kuruluşların yamayı kurmadığını veya Microsoft tarafından ayrıntılı olarak açıklanan hafifletme tavsiyelerini takip etmek için takip etmediğini söyledi, bu da saldırganların daha önce kazandıkları herhangi bir erişimi sürdürmesini önlemek için zorunlu.
Microsoft’un yamalar yayınladıktan yaklaşık 48 ila 72 saat sonra Çarşamba günü, kötü niyetli etkinlik arayışında interneti tarayan Shadowserver Foundation, hala CVE-2025-53770 ve CVE-2025-53771 CVE-2025-53771’e karşı savunmasız en az 424 olduğunu bildirdi.