3. taraf risk yönetimi, siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Microsoft araştırmacıları Türk casus grubunu Messenger Zero-Day Hack’e Çıktı
Chris Riotta (@Chrisriotta) •
13 Mayıs 2025
Microsoft Tehdit İstihbaratı Pazartesi günü yaptığı açıklamada, Türk bağlantılı siber casusların Irak’taki Kürt askeri operasyonlarını hedeflemek için popüler bir sohbet yazılımı içinde bulunan sıfır gün istismarı kullandığını bildirdi.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Microsoft’un Siber Güvenlik Araştırma Kolu, “Mermer Toz” olarak izlenen tehdit aktörünün, çıktı Messenger Server Manager uygulamasında, grubun Irak’taki hedeflerden kullanıcı verilerini toplamasına izin vererek, çıktı olmayan kullanıcı hesaplarından yararlandığını söyledi. Araştırmacılar, Saldırı başlatmadan önce uygulamanın Kürt askeri kullanımını doğrulamak için mermer tozun muhtemelen keşif yaptığını söyledi.
Rapora göre, Mermer Dust Türkiye bağlı bir casusluk grubudur. Grup daha önce internete bakan sistemlerde bilinen güvenlik açıklarını taramış ve bunları ilk erişim elde etmek için sömürmüş, daha sonra hükümet kuruluşlarından trafiği ve hasat kimliklerini engellemek için tehlikeye atılmış DNS kayıtlarını veya kayıt memurlarını kullanmıştır.
Grup genellikle telekomünikasyon ve BT sektörlerindeki hedeflerle birlikte rapora göre, “Türk hükümetine karşı çıkarları temsil eden hükümet kurumlarına ve kuruluşlarına” karşı siber sorumluluk kampanyalarını odaklamaktadır.
Araştırmacılar, saldırının, grup tipik taktiklerini korumasına rağmen, mermer tozun yeteneklerinde önemli bir değişime işaret ettiğini söyledi. Rapora göre, sıfır gün istismarının başarılı bir şekilde kullanılması potansiyel olarak daha fazla teknik karmaşıklığa işaret ediyor ve ayrıca daha fazla hedefleme önceliklerini veya daha acil operasyonel hedefleri gösterebiliyor.
Saldırı zinciri, Grubun Output Messenger Server Manager’a kimlik doğrulanmış bir kullanıcı olarak erişmesi ile başlar ve ardından kötü amaçlı dosyaları sunucunun başlangıç dizine düşürme güvenlik açığından yararlanır. Microsoft, grubun kimlik bilgilerini kesmek ve yeniden kullanmak için DNS kaçırma veya yazım hatası gibi önceki kampanyalardan taktikler kullandığına inanıyor olsa da, mermer tozun nasıl kimlik doğrulama kazandığı belirsizliğini koruyor.
En az bir durumda, bir kurbanın çıktı habercisi çalıştıran cihazının, veri açığa çıkması için mermer toz bağlantılı bir IP adresine bağlanan ve masaüstündeki dosyaları arşivleme komutlarıyla çakışan gözlemlendi. Microsoft, kuruluşları çıktı habercisi yamaya, uç nokta korumasını güçlendirmeye ve kimlik bileti hırsızlığı ve kötü amaçlı yazılım sunumunu engellemek için bulut tabanlı savunmaları uygulamaya çağırdı.