Microsoft SharePoint sunucularındaki kritik güvenlik açıkları, küresel enerji sektörünü hedef alan organize bir siber saldırı kampanyasına kapı araladı. Son günlerde ortaya çıkan raporlar, Storm-2603, Linen Typhoon ve Violet Typhoon gibi Çin merkezli tehdit aktörlerinin, yamalanmamış sistemleri kullanarak kurumsal ağlara sızdığını ve hassas kimlik bilgilerini ele geçirdiğini doğruluyor.
Saldırganlar sadece sisteme sızmakla kalmıyor; ele geçirdikleri e-posta hesapları üzerinden yüzlerce yeni oltalama (phishing) saldırısı düzenleyerek ağı genişletiyorlar. İşte 2026’nın ilk aylarında enerji sektörünü sarsan bu saldırının teknik detayları ve IT yöneticilerinin bilmesi gerekenler.
Saldırının Anatomisi: Nasıl Sızdılar?
Saldırı zinciri, internete açık olan ve gerekli güvenlik güncellemeleri yapılmamış SharePoint on-premises (yerel) sunucularının tespitiyle başlıyor. Hackerlar, Microsoft’un kısa süre önce yamaladığı ancak birçok şirketin henüz uygulamadığı CVE-2025-53770 ve CVE-2025-53771 güvenlik açıklarını hedef alıyor.
- Sızma ve Kod Yürütme: Saldırganlar,
spinstall0.aspxadında zararlı bir web shell dosyası yükleyerek sunucu üzerinde uzaktan kod yürütme (RCE) yetkisi kazanıyor. - Kimlik Hırsızlığı: Sunucuya yerleşen saldırganlar, “MachineKeys” olarak bilinen şifreleme anahtarlarını ve kullanıcı oturum bilgilerini çalıyor.
- İş E-postası Ele Geçirme (BEC): En tehlikeli aşama burası. Hackerlar, ele geçirdikleri çalışan hesaplarını kullanarak şirket içi ve dışı temaslara güvenilir görünen dosyalar gönderiyor.
- İz Kaybettirme: Yakalanmamak için saldırganlar, ele geçirilen e-posta kutularında “Gelen Kutusu Kuralları” (Inbox Rules) oluşturuyor. Gelen uyarı mailleri otomatik olarak siliniyor veya “okundu” olarak işaretlenip gizli klasörlere taşınıyor.
Bu yöntem, çalışanların saldırıyı fark etmesini engellerken, şirketlerin milyonlarca dolarlık zarara uğramasına neden olabiliyor. Özellikle Çalışanlar Siber Saldırıyı Neden Saklıyor? başlıklı analizimizde de değindiğimiz gibi, farkındalık eksikliği bu tarz saldırıların yayılma hızını artırıyor.
Teknik Tehdit Kartı
Aşağıdaki tablo, bu saldırı kampanyasında kullanılan teknik verileri ve risk seviyesini özetlemektedir. Veriler, Microsoft ve güvenlik araştırmacılarının yayınladığı raporlardan derlenmiştir.
| Özellik | Detay |
|---|---|
| İlgili CVE Kodları | CVE-2025-53770, CVE-2025-53771 |
| CVSS Skoru | 9.8 / 10 (Kritik) |
| Ana Tehdit Aktörü | Storm-2603 (Çin bağlantılı) |
| Etkilenen Ürünler | SharePoint Server 2016, 2019, Subscription Edition |
| Saldırı Türü | Remote Code Execution (RCE), AitM Phishing |
| Hedef Sektör | Enerji, Devlet Kurumları, Eğitim |
| Kullanılan Zararlı Dosya | spinstall0.aspx |
Neden Enerji Şirketleri Hedefte?
Enerji sektörü, kritik altyapıların başında geldiği için devlet destekli saldırı gruplarının (APT) favori hedefidir. Benzer bir durumu daha önce Orta Doğu Charon Fidye Yazılımı vakasında da görmüştük. Hackerlar, enerji şirketlerinin tedarik zincirindeki kritik rolünü kullanarak hem fidye talep ediyor hem de stratejik bilgi topluyor.
Bu son saldırıda, hackerların bir vakada ele geçirdikleri tek bir hesaptan 600’den fazla oltalama e-postası gönderdiği tespit edildi. Bu e-postalar “Yeni Teklif – Gizlilik Sözleşmesi” gibi inandırıcı başlıklar taşıyor ve kullanıcıları sahte bir SharePoint giriş sayfasına yönlendiriyor.
Korunma Yöntemleri: Ne Yapmalı?
IT yöneticileri ve sistem adminleri için acil eylem planı şöyledir:
- Yamaları Uygulayın: SharePoint Server 2016, 2019 ve Subscription Edition için yayınlanan Ocak 2026 güvenlik güncellemelerini beklemeden yükleyin.
- MFA Zorunluluğu: Phishing dirençli Çok Faktörlü Kimlik Doğrulama (MFA) kullanın. SMS tabanlı doğrulamalar bu saldırılarda yetersiz kalabiliyor.
- AMSI Entegrasyonu: SharePoint sunucularınızda Antimalware Scan Interface (AMSI) özelliğini aktif hale getirin. Bu, web shell yüklemelerini tespit etmeye yardımcı olur.
- Denetim: E-posta sunucularınızda şüpheli “Gelen Kutusu Kuralları”nı (Inbox Rules) tarayın.
- İşletim Sistemi Güvenliği: Sadece SharePoint değil, işletim sistemi seviyesindeki açıklar da risk yaratır. Google Windows 11 Güvenlik Açığı İfşası haberimizde bahsettiğimiz gibi, sistemin her katmanını güncel tutmak hayati önem taşıyor.
Sıkça Sorulan Sorular (FAQ)
1. SharePoint Online kullanıcıları bu saldırıdan etkileniyor mu?
Hayır. Microsoft’un açıklamasına göre bu saldırı kampanyası sadece on-premises (yerel sunucu) SharePoint kurulumlarını etkilemektedir. Microsoft 365 üzerindeki SharePoint Online kullanıcıları şu an için bu CVE’lerden etkilenmemektedir.
2. Storm-2603 grubu kimdir?
Storm-2603, Microsoft tarafından izlenen ve Çin merkezli olduğu düşünülen bir tehdit aktörüdür. Genellikle fidye yazılımı dağıtımı ve kimlik hırsızlığı üzerine odaklanırlar. Daha önce Warlock ve LockBit fidye yazılımlarını kullandıkları da gözlemlenmiştir.
3. Saldırıya uğradığımı nasıl anlarım?
Sunucularınızda spinstall0.aspx dosyasının varlığını kontrol edin. Ayrıca w3wp.exe işlemi tarafından başlatılan şüpheli komut satırı aktiviteleri (cmd.exe, powershell.exe) ve alışılmadık e-posta yönlendirme kuralları en güçlü saldırı belirtileridir.
Önemli Çıkarım: CVE-2025-53770, 9.8 gibi korkutucu bir CVSS skoruna sahip. Saldırganlar sisteme girdikten sonra sadece veri çalmakla kalmıyor, sistemi bir “zombi” gibi kullanarak iş ortaklarınıza saldırıyor. Yama yönetimi bir tercih değil, zorunluluktur.
Sonuç
Enerji şirketlerine yönelik bu saldırı, yerel sunucu barındıran kurumların güvenlik yamalarını bir gün bile geciktirmemesi gerektiğini acı bir şekilde hatırlatıyor. Teknoloji dünyası buluta kaysa da, kritik altyapılarda kullanılan on-premise sistemler hackerların iştahını kabartmaya devam ediyor.
