Fidye yazılım çeteleri, 148 kurumu hedef alan Microsoft SharePoint saldırılarına dahil oldu
Palo Alto Networks Unit 42 araştırmacıları, Microsoft SharePoint sunucularını hedef alan “ToolShell” güvenlik açığı zincirine fidye yazılım gruplarının da katıldığını açıkladı. En az 148 kurumun etkilendiği kampanyada, 4L4MD4R adlı yeni bir fidye yazılımı tespit edildi.
Microsoft SharePoint sunucularını hedef alan “ToolShell” güvenlik açığı zinciri, fidye yazılım çetelerinin de dahil olmasıyla daha geniş çaplı bir siber saldırı dalgasına dönüştü. Palo Alto Networks’e bağlı Unit 42 ekibi, analizlerinde açık kaynak kodlu Mauri870 tabanlı 4L4MD4R fidye yazılımını tespit etti.
4L4MD4R, 27 Temmuz’da bir zararlı yazılım yükleyicisinin tespit edilmesiyle ortaya çıktı. Bu yükleyici, fidye yazılımını theinnovationfactory[.]it alan adından indirerek çalıştırıyor. Yükleyicinin, hedef cihazlarda güvenlik izleme işlevlerini devre dışı bırakmak için tasarlanmış PowerShell komutları kullandığı belirlendi.
Araştırmalara göre 4L4MD4R, GoLang ile yazılmış ve UPX ile paketlenmiş durumda. Çalıştırıldığında AES şifreli yükünü bellekte çözüyor, ayrılmış belleğe yüklüyor ve yeni bir iş parçacığında çalıştırıyor. Saldırı sonrası dosyaları şifreleyen zararlı yazılım, 0,005 Bitcoin fidye talep ediyor ve şifrelenmiş dosyaların listesi ile fidye notlarını sistemde bırakıyor.
Microsoft ve Google, ToolShell saldırılarını Çin merkezli tehdit aktörleriyle ilişkilendirdi. Microsoft, Linen Typhoon, Violet Typhoon ve Storm-2603 olarak izlenen üç devlet destekli grubun güvenlik açıklarını istismar ettiğini açıkladı.
Şimdiye kadar ABD Ulusal Nükleer Güvenlik İdaresi, Eğitim Bakanlığı, Florida Gelir İdaresi, Rhode Island Genel Kurulu ve Avrupa ile Orta Doğu’daki bazı devlet kurumlarının bu saldırılardan etkilendiği bildirildi.
ToolShell saldırıları ilk olarak Hollanda merkezli Eye Security tarafından tespit edildi. Sıfırıncı gün açıkları CVE-2025-49706 ve CVE-2025-49704 üzerinden yürütülen saldırılar, 7 Temmuz’dan itibaren hükümet, telekom ve teknoloji kuruluşlarını hedef aldı. Microsoft, Temmuz 2025 güvenlik güncellemeleriyle bu açıkları kapattığını, ayrıca yamalanmış SharePoint sunucularını etkileyen iki yeni sıfırıncı gün açığı için CVE-2025-53770 ve CVE-2025-53771 kimliklerini atadığını duyurdu.
Eye Security CTO’su Piet Kerkhofs, gerçek etkinin açıklanan rakamların üzerinde olduğunu, en az 400 sunucunun zararlı yazılımla enfekte edildiğini ve 148 kurumun uzun süreli olarak ihlal altında kalmış olabileceğini belirtti. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2025-53770 güvenlik açığını istismar edilen açıklar listesine ekleyerek federal kurumlara 24 saat içinde sistemlerini güvenceye almaları talimatını verdi.
Kaynak: CUMHA - CUMHUR HABER AJANSI
