Geçmişin yavaş, zahmetli fidye yazılım saldırılarını unutun. Tehdit ortamı hızla değişiyor. Cordial Spider ve Snarky Spider olarak adlandırılan iki farklı siber suç örgütü, Yazılım Hizmeti (SaaS) ortamlarının güvenilir sınırları içinde neredeyse tamamen faaliyet göstererek hızlı veri hırsızlığı ve gasp kampanyaları düzenliyor. Operasyonel planları minimalist, bıraktıkları izler ise son derece silik; bu da onları daha geleneksel sızma yöntemlerine alışkın savunucular için zorlu bir rakip haline getiriyor. Her iki grup da en az Ekim 2025’ten beri aktif. Yerli İngilizce konuşan bir yapı olan Snarky Spider’ın ise ünlü e-suç kolektifi The Com ile bağlantılı olduğu görülüyor.
Metodolojilerinin özü ürkütücü derecede etkili: sesli kimlik avı (vishing) ve Tekli Oturum Açma (SSO) istismarının güçlü bir karışımı. Saldırganlar, hedefli kullanıcıları kötü amaçlı, SSO temalı ortadaki adam (AiTM) sayfalarına yönlendirmek için IT desteği gibi davranarak telefonla iletişime geçiyor. İşte bu dijital arafta, kimlik doğrulama verileri sızdırılıyor ve SSO ile entegre SaaS uygulamalarına doğrudan erişim sağlanıyor. Sonuç mu? Saldırganlar, geleneksel güvenlik duvarlarını aşarak doğrudan kurban ağlarına sızıyor. CrowdStrike’ın Karşı Düşman Operasyonları ekibinin deyişiyle, “Güvenilir SaaS ortamlarında neredeyse tamamen faaliyet göstererek ayak izlerini en aza indiriyorlar ve etki süresini hızlandırıyorlar.”
Bu sadece aşamalı bir değişim değil; saldırı vektörlerinde önemli bir evrimi temsil ediyor. Mandiant’ın Ocak 2026 raporu, bu grupları, gasp odaklı saldırılarıyla bilinen ShinyHunters grubunun kullandığı taktiklerin bir genişlemesi olarak öne çıkardı. Çalışma şekilleri, klasik bir sosyal mühendislik tekniği olan IT personeli taklidini içeriyor, ancak bu, uygulamanın hızı ve teknik karmaşıklığı ile bir üst seviyeye taşınıyor. Kurbanlar sadece kandırılmıyor; saldırganlar onları aktif olarak hem kimlik bilgilerini hem de kritik önem taşıyan çok faktörlü kimlik doğrulama (MFA) kodlarını toplayacak şekilde tasarlanmış kimlik avı giriş sayfalarına yönlendiriyor.
SaaS Ortamları İçin Neden Önemli?
SaaS uygulamalarına yoğun şekilde bağımlı kuruluşlar için sonuçları derindir. Bu saldırılar, mevcut güvenlik katmanlarını aşmak için tasarlanmıştır, onlarla yüzleşmek için değil. Bulut tabanlı hizmetlerdeki yerleşik güven mekanizmalarını sömürüyorlar, meşru kullanıcı erişimini bir güvenlik açığı için bir geçide dönüştürüyorlar. Özellikle hız endişe verici. Raporlar, Snarky Spider’ın ilk sızmadan sonra bir saatten kısa sürede veri sızdırma işlemini başlatabileceğini gösteriyor. Bu hızlı yürütme penceresi, güvenlik ekiplerine tespit için çok az, hatta iyileştirme için neredeyse hiç zaman bırakmıyor.
Araştırmacılar ayrıca Cordial Spider ile ilişkilendirilen CL-CRI-1116’yı, Şubat 2026’dan bu yana perakende ve konaklama sektörleriyle ilişkilendirdi. Sızmaları, tespit edilmekten kaçınmak için zaten ele geçirilmiş makinelerde bulunan meşru sistem araçlarını kullanarak ‘living-off-the-land’ (LotL) tekniklerine büyük ölçüde dayanıyor. Gizliliği artırmak için sıkça konut proxy’lerini kullanıyorlar. Bu strateji, gerçek coğrafi kökenlerini gizlemelerine yardımcı oluyor ve temel IP itibarına dayalı engelleme mekanizmalarından kaçmalarını sağlıyor.
İlk kimlik bilgisi hırsızlığını neyin takip ettiği, ayrıcalık yükseltme ve veri sızdırmanın bir ustalık sınıfıdır. Saldırganlar sadece erişim sağlamakla kalmıyor; aynı zamanda bunu sürdürmek ve herhangi bir alarm zilini bastırmak için aktif olarak çalışıyorlar. Yaygın bir taktik, MFA’yı atlamak için yeni bir cihaz kaydetmeyi içerir, ancak kritik olarak, önceden var olan tüm cihazları ilk önce kaldırırlar. Bunu, yetkisiz cihaz kaydıyla ilgili otomatik e-posta bildirimlerini otomatik olarak silmek için gelen kutusu kurallarını yapılandırmak izler. Sessizlik onların müttefikidir.
Bir sonraki aşama, gerçek değer çıkarma işleminin başladığı yerdir. Sızdırılmış dahili çalışan dizinlerini kullanarak, daha yüksek ayrıcalıklı hesapları hedefleyen ek sosyal mühendislik faaliyetlerine girişirler. Yükseltilmiş erişim sağlandıktan sonra, düşmanlar daha sonra Google Workspace, HubSpot, Microsoft SharePoint ve Salesforce gibi SaaS ortamlarında gezinir, yüksek değerli dosyaları ve iş açısından kritik raporları titizlikle ararlar. İlgili veriler daha sonra kendi kontrollü altyapılarına sızdırılır.
“Gözlemlenen vakaların çoğunda, bu kimlik bilgileri kuruluşun kimlik sağlayıcısına (IdP) erişim sağlar ve birden fazla SaaS uygulamasına tek bir giriş noktası sunar. IdP ile bağlı hizmetler arasındaki güven ilişkisini kötüye kullanarak, düşmanlar tek tek SaaS uygulamalarını tehlikeye atma ihtiyacını atlar ve bunun yerine tek bir kimliği doğrulanmış oturumla kurbanın tüm SaaS ekosisteminde yanal olarak hareket eder.”
CrowdStrike’tan gelen bu alıntı, sorunun özüne iniyor. Saldırganlar sadece bireysel uygulamaları ihlal etmekle kalmıyor; krallığın anahtarlarını, yani Kimlik Sağlayıcısını (IdP) tehlikeye atıyorlar. Bu tekil tehlike noktası, tüm SaaS ekosisteminde gezinmelerine izin veriyor ve onu tek, birbirine bağlı bir varlık olarak ele alıyor. Bu, bulut güvenliğinizin gücünün sadece bireysel uygulamaları güvence altına almakla değil, aynı zamanda merkezi kimlik yönetiminizin bütünlüğüyle de ilgili olduğunun acı bir hatırlatıcısıdır.
Buradaki pazar dinamikleri açık: Kuruluşlar verimlilik için giderek daha fazla SaaS benimsedikçe, saldırı yüzeyi genişliyor ve değişiyor. Saldırganlar verileri takip ediyor ve veriler giderek bu bulut tabanlı platformlarda bulunuyor. Vishing’in karmaşıklığı, SSO’nun yaygın kullanımıyla birleştiğinde, bu tehdit aktörlerinin ustaca istismar ettiği bir güvenlik açığı yaratıyor. Bu, siber güvenlik savunmalarından benzer bir çeviklik ve ileri görüşlülük gerektiren yüksek hızlı, düşük ayak izli bir yaklaşımdır.
Geleneksel Savunmalar Yeterli mi?
Dürüst olmak gerekirse, yeterli değiller. İmza tabanlı tespiti veya hatta birçok davranışsal anomali sistemini kullanma çabası, meşru araçları ve kimlik bilgilerini kullanan, güvenilir uygulama sınırları içinde faaliyet gösteren düşmanlara karşı zorlanacaktır. Odak noktası, güçlü kimlik ve erişim yönetimi (IAM), SaaS uygulamaları içindeki kullanıcı ve varlık davranışlarının sürekli izlenmesi ve vishing taktiklerini özel olarak ele alan gelişmiş kimlik avı farkındalık eğitimine kaymalıdır. Kuruluşların bir ihlal varsayması ve dayanıklılık oluşturması gerekiyor.
Vishing’in SSO istismarıyla entegrasyonu, SaaS’ı hedef alan siber suç grupları için önemli bir taktiksel sıçrama anlamına geliyor. Bu sadece kimlik bilgilerini çalmakla ilgili değil; güven ve hızı silahlandırmakla ilgili. Veriler, güvenlik liderleri ve dünya çapındaki IT departmanlarından acil dikkat gerektiren açık ve mevcut bir tehlikeyi destekliyor.
Temel Çıkarımlar
- Cordial Spider ve Snarky Spider adlı iki siber suç grubu, SaaS ortamlarında hızlı ve yüksek etkili saldırılar gerçekleştiriyor.
- Temel taktikleri, kullanıcıları kötü amaçlı SSO temalı kimlik avı sayfalarına yönlendiren vishing’i içeriyor.
- Ele geçirilen SSO kimlik bilgileri, saldırganlara Kimlik Sağlayıcı (IdP) aracılığıyla tüm SaaS ekosistemlerine erişim sağlıyor.
- Saldırganlar hızla hareket ediyor, genellikle bir saat içinde veri sızdırıyor ve tespit uyarılarını bastırıyor.
- Geleneksel güvenlik önlemleri, bu gizli, hıza odaklı saldırılara karşı yetersiz kalabilir.
🧬 İlgili İçgörüler
- Daha Fazla Okuyun: Uncle Sam Goes Ghostbusters on Southeast Asian Scammers: Is It Enough?
- Daha Fazla Okuyun: ShareFile Backdoors, Android Rootkits, and FBI Warnings: Inside This Week’s ThreatsDay Bulletin
Sıkça Sorulan Sorular
Vishing saldırıları nelerdir? Vishing veya sesli kimlik avı, suçluların telefon görüşmelerini kullanarak kurbanları hassas bilgileri (finansal detaylar veya giriş kimlik bilgileri gibi) açıklamaya kandırdığı veya saldırganın lehine eylemler gerçekleştirmeye ikna ettiği bir sosyal mühendislik saldırı türüdür.
Siber suçlular SSO’yu nasıl istismar eder? Siber suçlular, genellikle kimlik avı veya vishing yoluyla geçerli kullanıcı kimlik bilgilerini ilk önce elde ederek Tekli Oturum Açma’yı (SSO) istismar eder. Bu kimlik bilgilerine sahip olduktan sonra, SSO portalına ve dolayısıyla o SSO’yu kimlik doğrulama için kullanan tüm bağlı SaaS uygulamalarına, genellikle her uygulamayı ayrı ayrı tehlikeye atmadan erişebilirler.
Living-off-the-land (LotL) teknikleri nelerdir? Living-off-the-land (LotL), tehdit aktörlerinin kötü niyetli etkinlikleri gerçekleştirmek için hedef sistemde zaten bulunan meşru, önceden yüklenmiş araçları ve uygulamaları kullandığı bir siber saldırı türüne atıfta bulunur. Bu, eylemlerinin normal sistem işlemlerinden ayırt edilmesini zorlaştırır ve böylece kötü amaçlı yürütülebilir dosyaları izleyen güvenlik yazılımlarından kaçınır.
