Siber güvenlik şirketi Proofpoint’in yayımladığı son rapor, Aralık ayından bu yana dünya genelinde yüzlerce kuruluşa ait 80 binden fazla Microsoft Entra ID hesabının parola püskürtme (password spraying) saldırılarıyla hedef alındığını ortaya koydu.
En Yoğun Saldırı Ocak’ta: Tek Günde 16.500 Hesap Hedefte
Proofpoint’in analizine göre saldırıların arkasında, “UNK_SneakyStrike” olarak tanımlanan bir tehdit aktörü bulunuyor. Saldırılarda, O365 Entra ID hesaplarını tarayan ve parola denemeleri yapan açık kaynaklı TeamFiltration aracı kullanıldı. Özellikle 8 Ocak 2025 tarihinde saldırı zirve yaptı; sadece o gün 16.500’den fazla hesap saldırıya uğradı. Küçük ölçekli kuruluşlarda tüm kullanıcılar hedef alınırken, büyük şirketlerde daha çok belirli kullanıcı grupları seçildi. Ayrıca saldırganlar, güvenlik önlemlerinden kaçmak için periyodik olarak günler süren sessizlikler uyguladı.
İzler ve Saldırı Yöntemleri
Araştırmacılar, saldırıyı TeamFiltration aracına özgü kullanıcı ajanı ve gömülü OAuth istemci kimliklerinden tespit etti. Ayrıca araçta, Secureworks’ün eski FOCI projesinden kod parçacıkları bulundu. Saldırganlar ağırlıklı olarak ABD, İrlanda ve Birleşik Krallık’taki IP adreslerini kullandı ve Amazon Web Services (AWS) altyapısından yararlandı. İlginç bir şekilde, saldırıların bir kısmında işlevsiz Office 365 Business Basic hesapları üzerinden Microsoft Teams API’si kötüye kullanıldı.
Kurumsal Hesaplar İçin Güçlü Önlemler Şart
Uzmanlar, benzer saldırılardan korunmak için şu önlemleri tavsiye ediyor:
- Saldırı izlerinde tespit edilen IP adreslerinin ağ düzeyinde engellenmesi
- TeamFiltration gibi araçlara özel kullanıcı ajanı tespiti için güvenlik kuralları yazılması
- Çok faktörlü kimlik doğrulamanın (MFA) zorunlu hale getirilmesi
- OAuth 2.0 ve koşullu erişim politikalarının etkin biçimde kullanılması
Kurumsal hesapların güvenliği için hem teknik önlemler hem de kullanıcı farkındalığı hayati önem taşımaya devam ediyor.
Kendinizi Nasıl Koruyabilirsiniz?
Sıfır tıklama (zero-click) saldırıları son derece sinsi ve tespit edilmesi zor olsa da, dijital güvenliğinizi artırmak için alabileceğiniz bazı önlemler bulunuyor:
1. Yazılımınızı Güncel Tutun:
iOS ve diğer işletim sistemlerinde ortaya çıkan güvenlik açıkları genellikle güncellemelerle kapatılır. Cihazınızda en son yazılım sürümünün yüklü olduğundan emin olun ve otomatik güncellemeleri aktif tutun.
2. Bilinmeyen Bağlantı ve Dosyalara Dikkat Edin:
Tanımadığınız kişilerden gelen mesajlarda yer alan bağlantı ve dosyalara tıklamaktan kaçının. Özellikle e-posta ve mesajlaşma uygulamalarında gelen ekleri sorgulamadan açmayın.
3. Güvenlik Uyarılarını Ciddiye Alın:
Apple veya başka bir güvenilir kaynaktan gelen güvenlik uyarılarını asla göz ardı etmeyin. Bir tehdit bildirimi aldıysanız, en kısa sürede cihazınızı kontrol ettirin veya uzman bir servisten destek alın.
4. Ekstra Güvenlik Katmanları Kullanın:
Mümkünse cihazınızda iki faktörlü kimlik doğrulama (2FA) gibi ek güvenlik önlemlerini devreye alın. Güçlü ve benzersiz şifreler kullanmayı ihmal etmeyin.
5. Sadece Güvenilir Kaynaklardan Uygulama İndirin:
Resmî uygulama mağazası dışında bir kaynaktan uygulama indirmeyin. Güncel ve popüler uygulamalarda bile zaman zaman açıklar çıkabileceğinden, indirdiğiniz uygulamaları düzenli olarak gözden geçirin.
6. Casus Yazılım Belirtilerini Takip Edin:
Her ne kadar sıfır tıklama saldırılarında belirti görülmeyebiliyor olsa da, cihazınızda olağan dışı pil tüketimi, ısınma, uygulama çökmesi veya anormal veri kullanımı gibi şüpheli davranışlar fark ederseniz bir uzmana danışın.
7. Profesyonel Güvenlik Araçlarından Faydalanın:
Ekstra koruma için, mobil cihazlarda güvenlik uygulamaları veya tehdit algılama hizmetlerinden yararlanmak faydalı olabilir.