Karanlık bir veri merkezinde sunucuların uğultusu, ele geçirilmiş kimlik bilgilerinin hayalet fısıltısı.
Eylül 2025’ten beri pek çok Rus kuruluşu için bu gerçeklik haline geldi; PhantomCore adlı Ukrayna yanlısı hacktivist grubun ısrarlı çabaları sayesinde. Positive Technologies, Fairy Trickster ve Head Mare gibi takma adlarla da bilinen bu grubun TrueConf video konferans yazılımı çalıştıran sunucuları nasıl amansızca hedef aldığını titizlikle belgeledi. Dikkat çekici olan sadece hedefler değil, teknik ustalık: Üç farklı açığı içeren bir exploit zinciriyle savunmasız sistemlerde uzaktan komut çalıştırmayı başarıyorlar.
Bu sadece merakla bakmakla sınırlı değil. Script kiddy oyunu da değil. “Bu açık zinciri için kamuya açık exploit olmasa da PhantomCore saldırganları araştırmalarını yaparak açıkları yeniden üretti ve Rus kuruluşlarında pek çok vaka yarattı,” diyor araştırmacılar Daniil Grigoryan ve Georgy Khandozhko. Bu, zero-day’leri —ya da en azından daha önce açıklanmamış açık zincirlerini— bulup silah haline getirmeye adanmış bir AR-GE çabası olduğunu gösteriyor; güvenlik topluluğu daha kokusunu almadan.
PhantomCore oyuna yeni değil. 2022’den beri aktifler ve motivasyonları ikili: Russo-Ukrainian savaşı bağlamında siyasi açıdan tartışmasız, ama finansal da. Genelde hassas verileri çalıp ağ operasyonlarını bozuyorlar. Bazı durumlarda Babuk ve LockBit gibi ünlü grupların sızdırılmış kaynak kodlarını kullanarak fidye yazılımına bile bulaştılar. Positive Technologies Eylül 2025’te grubun “büyük ölçekli operasyonlar yürütüp güçlü gizliliği koruduğunu —kurban ağlarında uzun süre görünmez kalarak— kendi saldırı araçlarını sürekli güncelleyip evrilterek başardığını” not etti. Bu gizlilik ve uyum kabiliyeti, savunma açısından açıkçası korkutucu.
Teknik Nakavt: TrueConf Açıkları Parçalara Ayrıldı
Positive Technologies’in detaylandırdığı PhantomCore’un sömürdüğü spesifik açıklar, bu sızmaların nasıl gerçekleştiğini netleştiriyor:
- BDU:2025-10114 (CVSS skoru: 7.5): Yetersiz erişim kontrolü açığı. Basitçe, saldırganın kimlik doğrulamayı atlatıp /admin/* altındaki yönetim uç noktalarını sorgusuz sualsiz ping’lemesini sağlıyor. Güvenli bir tesiste kimlik göstermeden kapıdan içeri yürümek gibi.
- BDU:2025-10115 (CVSS skoru: 7.5): İlk sızmadan sonra bu açık, sistemdeki herhangi bir dosyayı okumalarına izin veriyor. Hassas konfigürasyon dosyaları, kullanıcı verileri, fikri mülkiyet — hepsi ortada.
- BDU:2025-10116 (CVSS skoru: 9.8): Asıl büyük olan bu. Komut enjeksiyonu açığı, kritik 9.8 CVSS skoruyla. Saldırganın keyfi işletim sistemi komutları enjekte edip çalıştırmasını sağlıyor. İşte burada keşiften tam kontrole geçiyorlar.
Zincirlenince bu üç açık saldırganlara altın bilet veriyor. Kimlik doğrulamayı atlatıp yetkisiz erişim sağlıyor, sonra doğrudan ele geçirilmiş sunucuya komut yağdırıyorlar. TrueConf 27 Ağustos 2025’te yamaları yayınlamış olsa da ilk saldırılar Eylül 2025 ortalarında başladı. Bu üç haftalık pencere, sofistike aktörler için köprü kurmaya yetiyor.
Video Konferanstan Ağ Fırlatma Rampasına
TrueConf Server’a bir kez sızınca PhantomCore oturup seyretmiyor. Sunucuyu fırlatma rampası gibi kullanıyorlar. Rapor, iç ağda nasıl yanal hareket ettiklerini, keşif, kaçınma ve kimlik bilgisi toplama için tasarlanmış kötü niyetli yükler bıraktıklarını detaylandırıyor. Kalıcı iletişim kanalları kuruyorlar, trafiği maskelemek için tünelleme araçları kullanıyorlar.
Gözlemlenen yaygın taktiklerden biri PHP tabanlı web shell dağıtmak. Bu kötü script, enfekte cihaza dosya yüklemelerine ve uzaktan komut çalıştırmalarına izin veriyor. Ayrıca eşlik eden bir PHP dosyası vekil sunucu gibi davranıp sonraki kötü isteklerini ağdaki meşru bir sunucudan geliyormuş gibi gösteriyor. Tespit edilmelerini geciktiren zeki bir kandırma.
PhantomCore’un araç seti özel ve kamuya açık araçların karışımı. PhantomPxPigeon adlı özel kötü TrueConf video konferans istemcisi dağıttıkları gözlendi; ters shell uyguluyor. Bu sayede uzak sunucuya bağlanıp görev alıyor, komut çalıştırıp trafiği web shell üzerinden proxy’liyor. Kalıcılık için PhantomSscp (DLL), MacTunnelRat (PowerShell) ve ters SSH tünelleri için PhantomProxyLite (PowerShell) kullanıyorlar. Keşif için ADRecon, kimlik bilgisi toplama için Veeam-Get-Creds (Veeam yedeklemelerine uyarlanmış script), DumpIt ve MemProcFS. Yanal hareket Windows Remote Management (WinRM) ve Remote Desktop Protocol (RDP) gibi standart protokollerle, geniş erişim için Velociraptor. Komut ve kontrol için microsocks, rsocx ve tsocks ile SOCKS proxy’leri üzerinden ele geçirilmiş host’ları yönetiyorlar.
Bazı sızmalarda saldırganlar ele geçirilmiş sunucuda “TrueConf2” adlı sahte bir yönetim kullanıcısı bile oluşturup yetkilerini yükselttiler. Hedef ortamlara derinlemesine gömülme niyetlerini gösteren sistem manipülasyonu seviyesi.
Phishing: Hâlâ Etkili Giriş Yolu
TrueConf exploit zinciri önemli bir vektör olsa da PhantomCore geleneksel yöntemleri bırakmadı. Ocak ve Şubat 2026 kadar yakın zamanda Rus kuruluşlarına phishing yemleri kullanarak ilk erişim sağladıkları gözlendi. Bu saldırılar genelde ZIP veya RAR arşivleri içeriyor, uzaktan komut çalıştıran ve keyfi yükler dağıtan backdoor yayıyor. Sofistike zero-day sömürüsüyle sosyal mühendislik taktiklerini harmanlayan hibrit yaklaşım.
Hesaplanmış Tehdit Manzarası
“PhantomCore, Rus tehdit manzarasındaki en aktif gruplardan biri,” diye sonuçlandırıyor Positive Technologies araştırmacıları. “Arsenalinde hem kamuya açık araçlar (Velociraptor, Memprocfs, Dokan, DumpIt) hem özel araçlar (MacTunnelRAT, PhantomSscp, PhantomProxyLite) var. Grup geniş sektörlerdeki hükümet ve özel kuruluşları hedefliyor.” Bu marjinal bir grup değil; Rus siber tehdit manzarasını aktif şekillendiren önemli bir oyuncu.
Stratejik odakları net: “PhantomCore yerli yazılımlardaki açıkları arıyor, exploit geliştiriyor ve böylece çok sayıda Rus şirketine sızma yeteneği kazanıyor.” Bu, yerel yazılım ekosistemlerini ulusal siber hedefler için hedefleyen kritik ve Alarm verici bir trendi vurguluyor. Denetimsiz kalırsa Rusya içindeki ve belki ötesindeki ağ güvenliği için geniş etkileri olabilir.
TrueConf Sistemik Risk mi?
PhantomCore’un TrueConf yazılımını sömürmesi, Rus yerli yazılım çözümlerinin güvenlik duruşu hakkında ciddi sorular doğuruyor. TrueConf yamaları yayınlamış olsa da bu açıkların sofistike bir grup tarafından yaygın yama öncesi hem keşfedilip hem sömürülmesi, bu yazılıma bağımlı her kuruluş için kritik endişe. Bu, açık keşfi ile yama dağıtımı arasındaki sonsuz ve genelde dengesiz yarışı gösteriyor. Saldırı tekniklerinin hızlı evrimi, yamalanmış sistemleri bile yeni exploit zincirleri veya tamamen yeni açıklarla tekrar savunmasız kılabiliyor. Bu olay, herhangi bir yazılımın güvenliğinin geliştirme yaşam döngüsündeki en zayıf halka ve kullanıcı tabanının güncelleme özenine bağlı olduğunun güçlü bir hatırlatıcısı.
Kritik Altyapı İçin Ne Anlama Geliyor?
Rusya’daki kritik altyapı işleten kuruluşlar için bu olay sadece bir haber değil; yanıp sönen kırmızı alarm. TrueConf gibi pek çok kurumsal iletişim platformu hassas iç iletişimleri yönetiyor. Burada bir ihlal, doğru segmentasyon ve ağ erişim kontrolleri yoksa operasyonel teknoloji (OT) ağlarına veya diğer kritik sistemlere doğrudan kapı açabilir. PhantomCore’un TrueConf sunucusunu ihlal ettikten sonra kalıcılık kurup yanal hareket edebilmesi, pek çok kuruluşun gelişmiş ısrarcı tehditlere (APT) karşı yetersiz savunması olduğunu gösteriyor. Özel kötü yazılım dağıtımı, sahte yönetim hesapları oluşturma ve sofistike tünelleme teknikleri, uzun süre tespit edilmeden çalışabilen aktörleri işaret ediyor. Bu, gelişmiş tehdit avı yetenekleri, güçlü olay yanıtı planları ve ihlali varsayan proaktif güvenlik duruşu için acil ihtiyacı vurguluyor; sadece önlemeye odaklanmak yerine.
🧬 İlgili İçgörüler
- Daha fazla oku:
- Daha fazla oku: GlassWorm’un Gizli Sürünüşü: Sahte Uzantılar ve Blockchain C2 Geliştirici Araçlarını Casus Yazılıma Dönüştürüyor
