Kurumsal ağlara sızan Çin destekli tehdit aktörlerinden Webworm, siber istihbarat raporlarına göre hedef ve taktiklerini tamamen güncelledi. 2022'den beri aktif olduğu bilinen ve önceleri Asya, Rusya, Gürcistan ile Moğolistan'daki BT hizmetleri, havacılık ve enerji sektörlerini hedef alan grup; artık odak noktasını Avrupa ülkelerindeki (Belçika, İtalya, Sırbistan, İspanya, Polonya) hükümet kuruluşlarına ve Güney Afrika'daki yerel bir üniversiteye çevirmiş durumda. ESET araştırmacılarının yayınladığı son bulgular, saldırganların Trochilus ve McRat (9002 RAT) gibi geleneksel zararlı yazılımları terk ettiğini, bunun yerine 2025 yılında cephaneliklerine ekledikleri iki yeni arka kapı (EchoCreep ve GraphWorm) ile doğrudan yasal platformları silahlandırdığını gösteriyor.
Nasıl Çalışır? Yasal Platformların Silahlaştırılması
Saldırganların geleneksel imza tabanlı güvenlik sistemlerinden kaçınarak kurduğu bu yeni C2 (Komuta Kontrol) zinciri şu adımlardan oluşuyor:
- Zafiyet Taraması ve İlk Erişim: Saldırganlar hedeflerine sızmak için "dirsearch" ve "nuclei" gibi açık kaynaklı zafiyet tarayıcılarını kullanıyor. Bu sayede kurbanların web sunucu dosyalarına ve dizinlerine kaba kuvvet (brute-force) uygulayarak güvenlik açıkları arıyorlar.
- Zararlıların Barındırılması (Staging): Tehdit aktörleri, tespit edilmemek adına zararlı yazılımlarını ve SoftEther VPN gibi araçlarını sahte bir WordPress çatalı (fork) gibi görünen bir GitHub deposunda ("github[.]com/anjsdgasdf/WordPress") saklıyor.
- EchoCreep ile Discord Tuzağı: 2025'te geliştirilen EchoCreep, C2 iletişimi için popüler sohbet uygulaması Discord'u kullanıyor. Bu arka kapı; dosya yükleme/indirme ve "cmd.exe" üzerinden komut çalıştırma yeteneklerine sahip. Modelin, her bir kurban için farklı bir Discord sunucusu üzerinden iletişim kurduğu ve bugüne kadar 50'den fazla benzersiz hedefe 433 Discord mesajı gönderdiği tespit edildi. Bilinen en eski komutların ise 21 Mart 2024 tarihine kadar uzandığı gözlemlendi.
- GraphWorm ile Microsoft Entegrasyonu: Diğer yeni arka kapı olan GraphWorm, C2 iletişimi için Microsoft Graph API'sini araç olarak kullanıyor. Yeni bir "cmd.exe" oturumu açabilen ve süreç (process) yürütebilen bu yazılım, her kurban için ayrı bir OneDrive dizini kullanarak dosya indirip yükleyebiliyor. GraphWorm ayrıca operatörden sinyal aldığında kendi çalışmasını durdurabilme (kendi kendini imha) yeteneğine de sahip.
Kişisel Not / Analiz: Adli Bilişimin (Forensics) Karşılaştığı Yeni Evrim
Bu vakada Incident Response süreçlerini en çok zorlayacak kısım; saldırganların ağ tünelleme araçları ve yasal bulut servislerini bir "ortadaki adam" (middleman) gibi kullanarak tam bir hayalet mimarisi kurmasıdır.
Webworm sadece Discord ve Microsoft ile yetinmiyor; WormFrp, ChainWorm, SmuxProxy ve WormSocket gibi özel proxy araçlarını SoftEther VPN gibi (yarı) yasal SOCKS proxy'leriyle birleştirerek izlerini mükemmel bir şekilde örtüyor. Hatta Vultr ve IT7 Networks tarafından kontrol edilen bulut sunucularını altyapı olarak kullandıkları ve WormFrp aracılığıyla konfigürasyon dosyalarını ele geçirilmiş bir Amazon S3 paketinden (bucket) çektikleri görülüyor. Defansif bir analist için, standart bir iş akışı gibi görünen Microsoft veya Discord trafiğinin içinde gizlenen bu asimetrik tehdidi yakalamak oldukça zorlu bir sınavdır.
Çözüm ve Mitigasyon:
Webworm'un bu casusluk odaklı taktikleri, kurumsal ağların en derinlerine inmeyi hedefliyor. Bu gelişmiş C2 yapısına karşı reaktif kalmak yerine SOC ekiplerinin acilen proaktif adımlar atması şarttır:
- Zafiyet Yönetimi ve Yama Pratiği: Saldırganların ana giriş noktası açık kaynaklı zafiyet tarayıcıları olduğundan, sistemlerin yama (patch) seviyeleri anında güncellenmeli ve dışarıya açık varlıkların ifşa yüzeyi (exposure) sıkı bir şekilde sınırlandırılmalıdır.
- Anormal Uç Nokta İletişiminin Avlanması: Blue Team analistleri, uç noktalardaki standart dışı veya alışılmadık süreçlerden (processes) Discord, Microsoft Graph API veya Amazon S3'e doğru giden ağ bağlantılarını yakından izlemelidir.
- Veri Transferi (DLP) Denetimi: Normal kurumsal iş akışının bir parçası olmayan (özellikle yukarıda bahsedilen bulut uç noktalarına doğru gerçekleşen) anormal veri transferleri ve yüklemeleri, veri sızıntısı riski taşıdığı için güvenlik ekipleri tarafından acilen bayraklanmalıdır.
