Çin APT Grubu UNC5221: Microsoft 365 Ağlarına Sızma ve Yeni Tehditler

Çin kökenli UNC5221 APT grubu, Microsoft 365 ortamlarına Brickstorm arka kapısı ve yeni Plenet/AgentPSD malware'leriyle sızıyor. Saldırı yöntemleri ve tespit teknikleri hakkında detaylı rehber.

B

Bleeping Computer Tutorials

6 Haziran 20262 görüntülenme

Çin APT Grubu UNC5221: Microsoft 365 Ağlarına Sızma ve Yeni Tehditler

Giriş

UNC5221, Çin devletine bağlı olduğu iddia edilen bir Gelişmiş Kalıcı Tehdit (APT) grubudur. Bu grup, son dönemde Microsoft 365 bulut ortamlarına yönelik saldırılarını yoğunlaştırmıştır. Saldırılar sırasında kullanılan Brickstorm adlı arka kapı (backdoor) ve Plenet ile AgentPSD adlı yeni malware'ler, tehdit aktörlerinin ağlara kalıcı erişim sağlamak için tasarlanmıştır.

Bu makalede, UNC5221 grubunun saldırı vektörleri, kullanılan malware'lerin teknik detayları ve bu tehditlere karşı savunma stratejileri adım adım ele alınacaktır. Makale, orta düzey (intermediate) bilgi seviyesine sahip BT güvenlik uzmanları için hazırlanmıştır.

Saldırı Vektörleri ve Tehdit Aktörünün Yöntemleri

1. Brickstorm Arka Kapısının Yaygınlaşması

Brickstorm, UNC5221 tarafından kullanılan bir arka kapı yazılımıdır. Bu malware, Microsoft 365 ortamlarına OAuth 2.0 token'larının çalınması yoluyla sızmaktadır. Token'lar, meşru kullanıcı uygulamaları aracılığıyla elde edilir ve ardından saldırganlar tarafından yetkilendirme süreci manipüle edilir.

Saldırı süreci:

Token Sızdırma: Saldırganlar, hedef kullanıcıların OAuth 2.0 token'larını çalmak için phishing veya social engineering tekniklerini kullanır.
Yetkilendirme Manipülasyonu: Çalınan token'lar, saldırganlar tarafından Brickstorm malware'ini yüklemek için kullanılır. Bu malware, Microsoft 365 API'lerine doğrudan erişim sağlar.
Kalıcı Erişim: Brickstorm, saldırganlara ağa sürekli erişim sağlar. Bu erişim, Plenet ve AgentPSD gibi ek malware'lerin yüklenmesi için kullanılır.

2. Yeni Malware'ler: Plenet ve AgentPSD

Plenet ve AgentPSD, UNC5221 tarafından geliştirilen yeni malware'lerdir. Bu yazılımlar, saldırganlara ağlara kalıcı erişim sağlamak ve veri sızdırmak için tasarlanmıştır.

Plenet'in Özellikleri:

Veri Toplama: Kullanıcı kimlik bilgilerini, e-postaları ve diğer hassas verileri toplar.
Komut Kontrolü: Saldırganlar tarafından uzaktan komutlar gönderilmesini sağlar.
Gizlilik: Kendini gizlemek için polymorphic ve fileless tekniklerini kullanır.

AgentPSD'in Özellikleri:

Yanal Hareket: Ağ içinde hareket ederek diğer sistemlere yayılır.
Veri Sızdırma: Toplanan verileri saldırganların komuta kontrol (C2) sunucularına gönderir.
Kalıcılık: Sistem yeniden başlatıldığında bile çalışmaya devam eder.

Tespit ve Müdahale Stratejileri

1. Brickstorm'un Tespiti

Brickstorm'un tespiti için aşağıdaki adımlar izlenmelidir:

OAuth Token'larının İzlenmesi:
- Microsoft 365'te Audit Logs etkinleştirilmelidir.
- Şüpheli token'ların kullanımı için Microsoft Defender for Cloud Apps veya Azure Sentinel gibi araçlar kullanılmalıdır.
Anormal Davranışların Tespiti:
- Microsoft 365 API'lerine yapılan olağandışı erişimler için UEBA (User and Entity Behavior Analytics) araçları kullanılmalıdır.
- Sistemde çalışan Brickstorm süreçleri için Endpoint Detection and Response (EDR) çözümleri kullanılmalıdır.

Uyarı: Brickstorm, kendini gizlemek için legitimate-looking süreç adları kullanabilir. Örneğin, svchost.exe yerine svch0st.exe gibi adlar kullanabilir. Bu nedenle, süreç adlarının yanı sıra hash değerleri ve komut satırı argümanları da kontrol edilmelidir.

2. Plenet ve AgentPSD'in Tespiti

Plenet ve AgentPSD'in tespiti için aşağıdaki adımlar izlenmelidir:

Sistem Taraması:
- Sistemlerde Plenet ve AgentPSD tarafından kullanılan dosya adlarını ve hash değerlerini içeren IOC (Indicator of Compromise) listeleri oluşturulmalıdır.
- YAMA (Yetkilendirme Yönetim Aracı) gibi araçlar kullanılarak yetkilendirme log'ları incelenmelidir.
Ağ İzleme:
- Ağ trafiği Network Intrusion Detection Systems (NIDS) araçlarıyla izlenmelidir.
- C2 sunucuları ile iletişim kuran sistemler tespit edilmelidir.
EDR ve XDR Çözümleri:
- CrowdStrike, SentinelOne veya Microsoft Defender for Endpoint gibi EDR/XDR çözümleri kullanılarak malware'ler tespit edilmelidir.

3. Müdahale ve Temizleme

Tespit edilen malware'lerin temizlenmesi için aşağıdaki adımlar izlenmelidir:

Etkilenen Sistemlerin İzolasyonu:
- Etkilenen sistemler ağdan izole edilmelidir.
- Sistemlerdeki Brickstorm, Plenet ve AgentPSD süreçleri sonlandırılmalıdır.
Token'ların İptal Edilmesi:
- Microsoft 365'te OAuth token'ları iptal edilmelidir.
- Azure AD portalı üzerinden şüpheli uygulamalar kaldırılmalıdır.
Sistemlerin Temizlenmesi:
- Sistemler tam bir tarama yapılarak malware'lerden arındırılmalıdır.
- Sistemler yeniden başlatıldıktan sonra tekrar taranmalıdır.

İpucu: Temizlik işlemleri sırasında, sistemlerin güvenli modda başlatılması ve temiz bir kurtarma ortamı kullanılması önerilir. Bu, malware'lerin yeniden yüklenmesini önler.

Önleyici Tedbirler

1. Microsoft 365 Güvenlik Ayarları

Microsoft 365 ortamlarının güvenliğini sağlamak için aşağıdaki ayarlar yapılmalıdır:

OAuth Token'larının Kısıtlanması:
- Azure AD portalında app registrations incelenmeli ve şüpheli uygulamalar kaldırılmalıdır.
- Conditional Access politikaları uygulanmalıdır.
Audit Log'ların Etkinleştirilmesi:
- Microsoft 365'te Audit Logs etkinleştirilmeli ve 90 günlük log saklama süresi ayarlanmalıdır.
Multi-Factor Authentication (MFA):
- Tüm kullanıcılar için MFA zorunlu hale getirilmelidir.

2. Ağ ve Uç Nokta Güvenliği

Ağ ve uç nokta güvenliğini artırmak için aşağıdaki adımlar izlenmelidir:

EDR/XDR Çözümlerinin Kullanımı:
- CrowdStrike, SentinelOne veya Microsoft Defender for Endpoint gibi çözümler kullanılmalıdır.
Ağ İzleme ve Segmentasyonu:
- Ağ trafiği sürekli izlenmeli ve mikro-segmentasyon uygulanmalıdır.
- Zero Trust modeli benimsenmelidir.
Güncellemelerin Yönetimi:
- Tüm sistemler ve uygulamalar düzenli olarak güncellenmelidir.

Uyarı: UNC5221 grubu, saldırılarını sıfır gün (zero-day) zafiyetleri kullanarak gerçekleştirebilir. Bu nedenle, yama yönetimi ve sıfır gün koruması için özel çözümler kullanılmalıdır.

Sonuç

UNC5221 grubunun Microsoft 365 ortamlarına yönelik saldırıları, gelişmiş ve sürekli bir tehdit oluşturmaktadır. Brickstorm arka kapısı ve Plenet/AgentPSD malware'leri, saldırganlara ağlara kalıcı erişim sağlamak için tasarlanmıştır. Bu tehditlere karşı savunma stratejileri, çok katmanlı bir güvenlik yaklaşımı gerektirir.

BT ekiplerinin, OAuth token'larının yönetimi, EDR/XDR çözümlerinin kullanımı ve güvenlik log'larının sürekli izlenmesi gibi önlemleri uygulamaları gerekmektedir. Ayrıca, sıfır güven (Zero Trust) modelinin benimsenmesi ve düzenli güvenlik denetimleri yapılması önerilir.

UNC5221 grubunun saldırılarına karşı hazırlıklı olmak, sadece teknolojik çözümler değil, aynı zamanda çalışan farkındalığı ve güvenlik kültürü oluşturmayı da gerektirir.

Kaynak

Bleeping Computer Tutorials

Wiki'ye Dön

İlgili Makaleler

5 Haziran 2026

Nemesis Market Karanlık Ağ Platformunda İlaç Ticareti: 26 Yıllık Hapis Cezası ve Güvenlik Önlemleri

Kaliforniyalı bir satıcı, Nemesis Market üzerinden fentanil ve metamfetamin ticareti yaparak 26 yıl hapis cezasına çarptırıldı. Karanlık ağ pazar yerlerinin riskleri ve siber suçlara karşı koruma yöntemleri.

3Makaleyi Oku →

5 Haziran 2026

SolarWinds Serv-U Yüksek Öncelikli Güvenlik Açığı: Saldırganların Sunucuları Çökertme Taktikleri

CISA, SolarWinds Serv-U yazılımındaki yüksek öncelikli bir güvenlik açığının saldırganlar tarafından aktif olarak istismar edildiğini ve sunucuları çökertmek için kullanıldığını duyurdu. Kritik düzeltme adımları ve koruma yöntemleri hakkında detaylı rehber.

4Makaleyi Oku →

5 Haziran 2026

Cisco Catalyst SD-WAN Manager Sıfırıncı Günü Zafiyeti (CVE-2026-20245): Kritik Tehdit ve Korunma Yöntemleri

Cisco, Catalyst SD-WAN Manager'daki yüksek önemdeki CVE-2026-20245 zafiyetinin saldırılarda aktif olarak exploit edildiğini duyurdu. Root ayrıcalığına yükselme riski taşıyan bu sorun için henüz yama yayınlanmadı.

4Makaleyi Oku →