Çin ile ilişkili olduğuna inanılan bilgisayar korsanları, devlet kurumlarını, üniversiteleri, telekomünikasyon hizmet sağlayıcılarını ve finans kuruluşlarını hedef alan saldırılarda Microsoft SharePoint'teki ToolShell güvenlik açığından (CVE-2025-53770) yararlandı.
Güvenlik açığı şirket içi SharePoint sunucularını etkiliyor ve Çin'e bağlı çok sayıda bilgisayar korsanlığı grubunun yaygın saldırılarda bundan yararlanmasının ardından 20 Temmuz'da aktif olarak yararlanılan bir sıfır gün olarak açıklandı. Microsoft ertesi gün acil durum güncellemelerini yayınladı.
Sorun, Viettel Siber Güvenlik araştırmacılarının Mayıs ayındaki Pwn2Own Berlin bilgisayar korsanlığı yarışmasında gösterdiği iki kusur olan CVE-2025-49706 ve CVE-2025-49704'ün atlanmasıdır ve kod yürütme ve dosya sistemine tam erişim için kimlik doğrulaması olmadan uzaktan kullanılabilir.
Microsoft daha önce ToolShell'in üç Çinli tehdit grubu tarafından istismar edildiğini söylemişti: Budworm/Linen Typhoon, Sheathminer/Violet Typhoon ve Storm-2603/Warlock fidye yazılımı.
Broadcom'un bir parçası olan siber güvenlik şirketi Symantec, bugün yayınladığı raporda ToolShell'in Orta Doğu, Güney Amerika, ABD ve Afrika'daki çeşitli kuruluşların güvenliğini ihlal etmek için kullanıldığını ve kampanyalarda genellikle Salt Typhoon Çinli bilgisayar korsanlarıyla ilişkilendirilen kötü amaçlı yazılımlardan yararlanıldığını söylüyor:
Symantec'in raporunun odak noktası olan telekomünikasyon firmasındaki faaliyet, 21 Temmuz'da CVE-2025-53770'in kalıcı erişim sağlayan web kabukları oluşturmak için kullanılmasıyla başladı.
Bunu, sistem bilgilerini toplayabilen, dosya işlemlerini gerçekleştirebilen ve aynı zamanda uzaktan komut yürütmeyi kolaylaştırabilen Zingdoor adlı Go tabanlı bir arka kapının DLL tarafından yandan yüklenmesi izledi.
Ardından araştırmacılar, başka bir yandan yükleme adımının "ShadowPad Truva Atı gibi görünen bir şeyi" başlattığını söyledi ve eylemin, sonunda Sliver açık kaynaklı sömürü sonrası çerçevesini kullanan Rust tabanlı KrustyLoader aracının bırakılmasıyla takip edildiğini ekledi.
Özellikle yandan yükleme adımları yasal Trend Micro ve BitDefender yürütülebilir dosyaları kullanılarak gerçekleştirildi. Güney Amerika'daki saldırılar için tehdit aktörleri Symantec'in ismine benzeyen bir dosya kullandı.
Saldırganlar daha sonra ProcDump, Minidump ve LsassDumper aracılığıyla kimlik bilgisi dökümü gerçekleştirmeye devam etti ve etki alanının ele geçirilmesi için PetitPotam'dan (CVE-2021-36942) yararlandı.
Araştırmacılar, saldırılarda kullanılan halka açık ve arazi dışında yaşayan araçların listesinin Microsoft'un Certutil yardımcı programını, GoGo Tarayıcısını (kırmızı takım tarama motoru) ve tehlikeye atılan cihazda veri sızdırmaya, komuta ve kontrole ve kalıcılığa izin veren Revsocks yardımcı programını içerdiğini belirtiyor.
Symantec, bulgularının ToolShell güvenlik açığından daha önce bilinenden daha fazla sayıda Çinli tehdit aktörü tarafından yararlanıldığını gösterdiğini söylüyor.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
Bilgisayar korsanları Gladinet dosya paylaşım yazılımında sıfır günü istismar ediyor
Yaklaşık 50.000 Cisco güvenlik duvarı aktif olarak istismar edilen kusurlara karşı savunmasız
CISA, aktif olarak istismar edilen Dassault RCE güvenlik açığı konusunda uyardı
28.000'den fazla Citrix cihazı, yeni istismar edilen RCE kusuruna karşı savunmasız
CISA, saldırılarda kullanılan Lanscope Endpoint Manager kusuru konusunda uyardı
Kaynak: Bleeping Computer