Güvenlik Dünyasında Fırtına Gibi Esecek: Webworm APT Grubu ve 2025 Faaliyetleri
Modern siber güvenlik alanında, Webworm adlı gelişmiş kalıcı tehdit (APT) grubunun 2025 yılında gerçekleştirdiği operasyonlar, dünya genelindeki devlet kurumları ve kritik altyapı üzerindeki etkisiyle büyük yankı uyandırdı. Bu saldırganlar, sadece geleneksel yöntemlerle değil, aynı zamanda yeni ve karmaşık通信 kanalları kullanarak gizli ve uzun soluklu sızmalar gerçekleştiriyorlar.
Webworm’un Hedefleri ve Bölgesel Yayılımı
Araştırmalar, Webworm’un Belçika, İtalya, Polonya, Sırbistan ve İspanya gibi Avrupa ülkelerinin devlet kurumlarını hedef aldığını gösteriyor. Ancak, bu saldırılar sadece Avrupa sınırlarıyla sınırlı değil. Güney Afrika’da bir üniversiteyi hack’leyerek, bu bölgedeki akademik ve araştırma kuruluşlarının da dikkatini çekti.
Şifreli ve Gizli İletişim Kanalları
Geçen yıl itibarıyla, grup Discord ve Microsoft Graph API gibi iletişim platformlarını kullanmaya başladı. Bu platformlar, şu anda siber saldırganlar tarafından C&C (Komuta ve Kontrol) faaliyetleri için sıklıkla tercih edilen araçlar hâline geldi. Grup, Discord üzerinden satışını yaptığı EchoCreep ve Microsoft Graph API ile gerçekleştirdiği GraphWorm arka kapılarıyla, kurbanların sistemlerine erişimi daha da gizli ve karışık hale getiriyor.
Discord ve Microsoft Graph API Kullanımının Derin Analizi
İlk olarak, EchoCreep adlı arka kapı, Discord kanallarını kullanarak dosya transferi ve komut alma işlemlerini gerçekleştiriyor. Bu yapı, saldırganların iletişimi tamamen şifrelenmiş tutmasını sağlıyor ve tespit edilmesini zorlaştırıyor. Ayrıca, ESET araştırmacıları, 400’den fazla Discord mesajını çözüp, bu mesajlarda gizli komutları ve iletişim anahtarlarını ortaya çıkardı.
İkinci olarak, GraphWorm ise, Microsoft Graph API aracılığıyla C&C operasyonlarını yürütüyor. Özellikle, sadece OneDrive uç noktalarını kullanarak, kurbanların verilerini gizlice yükleyip, yeni görevleri ve komutları alıyor. Bu teknik, güvenlik önlemlerini aşmadan saldırganların kontrolü elinde tutmasını sağlıyor.
Siber Güvenlik Uzmanlarının Tespitleri ve Analizleri
İşin ilginç yanı, ESET araştırmacıları önceki analizlerinde, grup özellikle Amazon Web Services (AWS) S3 bucket’larını kullanarak gizli veri akışlarını yönetebildiğini keşfettiler. Webworm’un, bu genel bulut depolama alanlarına yaptığı sızma, hem veri sızdırma hem de yeni saldırı altyapısı kurma konusunda büyük avantaj sağlıyor.
Özellikle, araştırmacılar, saldırganların AWS S3 bucket’larını kullanarak, gizli iletişim ve veri sızdırma amaçlarıyla yapılandırılmış toplamda 20’den fazla yeni dosya yüklediğini belirledi. Bu dosyaların içerisinde, devlet kurumlarından ve akademik kuruluşlardan sızdırılmış bilgiler bulunuyor.
Yeni Araçlar ve Gelişmiş Proxy Çözümleri
Webworm’un en son dönemdeki araçları arasında WormFrp, ChainWorm, SmuxProxy ve WormSocket gibi karmaşık proxy çözümleri yer alıyor. Bu araçlar, saldırganların aktörlerin IP adreslerini gizlemelerine ve iletişimin izlenmesini zorlaştırmasına olanak tanıyor.
İlginç gerçek şu ki, saldırganlar proxy çözümlerini kullanarak büyük ve gizli bir “gölge ağ” inşa ediyorlar. Bu ağ, yüzlerce hedef sistemini ve iletişim kanalını kapsayabilir, böylece saldırılar daha uzun süre fark edilmeden devam edebiliyor.
Siber Tehditlerin Yapısı ve Uygulama Yöntemleri
Webworm’un operasyonlarındaki en kritik noktalar arasında, phishing hazırlığı, zayıf yapılandırılmış proxy ve bulut hizmetleri üzerinden gizli iletişim, malware dağıtımı ve uzun vadeli sızma stratejileri yer alıyor. Ayrıca, saldırganlar, SoftEther VPN gibi önceden yapılandırılmış araçları kullanarak, saldırının izlerini kaybettirip, hedeflerin güvenlik duvarlarını aşmayı başarıyorlar.
Geleceğe Yönelik Tehdit Tahminleri
Analistler, Webworm’un, gelişmiş gizlilik teknikleri ve çok katmanlı iletişim ağları ile saldırılarını sürdüreceğine inanıyor. Bu bağlamda, özellikle kamu kuruluşları ve kritik altyapıların, bu tarz gelişmiş ve karmaşık saldırı yöntemlerine karşı hazırlıklı olmaları gerekiyor. Güvenlik duvarları, SIEM sistemleri ve siber farkındalık eğitimleri, en önemli savunma araçları arasında yer almalı.
