Gündem

StrikeShark: Yeni Bir Loader Kötücül Yazılım Dünyaya Yayılıyor

Kaspersky, geniş coğrafi yayılımıyla dikkat çeken yeni bir siber casusluk kampanyası tespit etti. SharkLoader adlı loader kötücül yazılım, yıllardır yamalanmamış açıklıkları istismar ederek diplomatik ağları ve devlet kurumlarını hedef alıyor.

StrikeShark: Yeni Bir Loader Kötücül Yazılım Dünyaya Yayılıyor

Kaspersky, daha önce belgelenmemiş yeni bir kötücül yazılım ailesi olan SharkLoader'ı tespit etti. "StrikeShark" adıyla takip edilen kampanya; Endonezya'daki diplomatik kuruluşlar, Tayvan'daki devlet kurumları ve yazılım geliştirme şirketleri başta olmak üzere Hong Kong, Lübnan, Suriye, Kolombiya ve Sırbistan'daki çeşitli kuruluşları hedef alıyor. Geniş coğrafi yayılımı ve farklı sektörleri kapsaması nedeniyle kampanyanın belirli bir sektöre değil fırsatçı bir yaklaşıma dayandığı değerlendiriliyor.

Kampanya bilinen herhangi bir tehdit aktörüyle doğrudan ilişkilendirilmese de kullanılan araçların Çince konuşan geliştiricilerin tercih ettiği açık kaynaklı araçlarla örtüşmesi dikkat çekiyor. Saldırganların Exchange Server, Openfire, GeoServer, Fortinet ve Cisco gibi platformlardaki bilinen açıklıklardan yararlandığı belirlendi. Bu açıklıkların büyük bölümünün yıllar önce kamuya açıklanmış ve yamaları yayımlanmış güvenlik açıkları olması, hedef alınan kurumların temel güvenlik güncellemelerini dahi uygulamadığına işaret ediyor.

Sisteme sızdıktan sonra SharkLoader, Cobalt Strike Beacon adlı profesyonel sızma testi aracını devreye sokuyor. Cobalt Strike meşru amaçlarla geliştirilen bir araç olmakla birlikte siber saldırılarda sıkça kötüye kullanılıyor. SharkLoader bu aracı gizlemek için Windows'un bellek tarama mekanizmalarını atlatacak şekilde tasarlanmış teknikler kullanıyor. Saldırı zinciri kurulduktan sonra tehdit aktörleri ağ içinde keşif yapıyor, kimlik bilgilerini ele geçiriyor ve Active Directory sistemlerini tarıyor.

Kaspersky henüz aktif bir veri sızdırma faaliyeti tespit etmediğini belirtse de hedeflenen kurumların profili siber casusluk amacına işaret ediyor. Hükümet kurumları ve yazılım şirketlerinin öncelikli hedefler arasında yer alması, saldırganların siyasi istihbarat veya fikri mülkiyet peşinde olabileceğini düşündürüyor. Cobalt Strike'ın veri sızdırma modüllerinin ilerleyen aşamalarda devreye girebileceği ihtimali de göz ardı edilmiyor.

Türkiye bu kampanyada doğrudan hedef listesinde yer almıyor. Ancak Türkiye'nin kamu kurumları, eğitim altyapıları ve telekomünikasyon servisleri, botnet kaynaklı saldırılar, otomatik güvenlik açığı taramaları ve kimlik avı kampanyalarının yoğun hedefi konumunda. StrikeShark'ın Lübnan ve Suriye gibi bölgesel komşuları hedef alması ve fırsatçı bir yaklaşım benimsemesi, Türkiye'nin de bu tür kampanyaların radarında olabileceğine işaret ediyor. Google'ın 2026 Siber Güvenlik Tahminleri raporuna göre Çin'in siber kampanyalarını siyasi ve ekonomik etkisini güçlendirmek amacıyla sürdürmesi bekleniyor. Bu bağlamda Türkiye'nin diplomatik ve kurumsal altyapısının güvenlik güncellemelerini düzenli uygulaması kritik önem taşıyor.

Author

AltaySec Medya

Siber güvenlik operasyonları ve Red Team kültürü içerisinde bilgi yönetimi yapan çekirdek yayın ekibi. #OffensiveKnowledge