ShadowPad Alarmı: Kritik WSUS Açığı (CVE-2025-59287) Aktif Olarak Kullanılıyor!
Siber güvenlik dünyasında kırmızı alarmlar çalıyor. Çin devlet destekli tehdit aktörleriyle (APT grupları) ilişkilendirilen modüler arka kapı yazılımı ShadowPad, Microsoft Windows Server Update Services (WSUS) üzerindeki kritik bir güvenlik açığını aktif olarak sömürmeye başladı. 24 Kasım 2025 itibarıyla gelen raporlar, saldırganların kurumsal ağların kalbine sızmak için bu yeni yöntemi acımasızca kullandığını gösteriyor.
AhnLab Güvenlik İstihbarat Merkezi (ASEC) ve The Hacker News kaynaklı raporlara göre, saldırganlar CVE-2025-59287 kodlu güvenlik açığını kullanarak sunucularda tam yetki sağlıyor. Eğer şirketinizde WSUS kullanılıyorsa, bu makaledeki adımları dikkatlice incelemeniz hayati önem taşıyor.
Saldırı Nasıl Gerçekleşiyor?
Saldırı zinciri oldukça sofistike ve tespit edilmesi zor yöntemler içeriyor. Techneiro.com olarak analiz ettiğimiz saldırı vektörü şu adımlardan oluşuyor:
- İlk Erişim: Saldırganlar, internete açık ve yamalanmamış WSUS sunucularını hedef alıyor. CVE-2025-59287 (Kritik RCE) açığı tetiklenerek sunucuya sızılıyor.
- Komut Çalıştırma: Erişim sağlandıktan sonra, açık kaynaklı bir PowerShell aracı olan PowerCat kullanılarak sistemde bir komut kabuğu (CMD) açılıyor.
- Yük İndirme: Saldırganlar, Windows’un kendi yasal araçları olan
certutil.exevecurl.exe‘yi kullanarak ShadowPad zararlısını sunucuya indiriyor. Bu yöntem, güvenlik duvarlarını atlatmayı kolaylaştırıyor. - DLL Side-Loading: ShadowPad, kendini gizlemek için “DLL Side-Loading” tekniğini kullanıyor. Yasal bir dosya olan
ETDCtrlHelper.exeçalıştırıldığında, yanında duran kötü amaçlıETDApix.dlldosyasını da hafızaya yüklüyor ve zararlı aktif hale geliyor.
Teknik Detaylar ve IOC Tablosu
Saldırının teknik parmak izleri ve operasyonel detayları aşağıdadır. Güvenlik ekiplerinizin bu IP ve Hash değerlerini derhal engellemesi önerilir.
| Özellik | Detay |
|---|---|
| Zararlı Yazılım | ShadowPad (Modüler Backdoor) |
| Hedef Açık (CVE) | CVE-2025-59287 (WSUS RCE) |
| C2 Sunucusu | 163.61.102[.]245 (Port 443) |
| Kullanılan Araçlar | PowerCat, Certutil, Curl |
| Fiyat / Maliyet | Satışa Kapalı (Özel Devlet Destekli Araç) |
ShadowPad Saldırısından Korunmanın 5 Yolu
Bu saldırı dalgasından etkilenmemek veya hasarı en aza indirmek için uygulamanız gereken kritik adımlar şunlardır:
- Acil Yama Uygulaması: Microsoft’un CVE-2025-59287 için yayınladığı güvenlik yamasını WSUS sunucularınıza ivedilikle kurun. Bu, saldırının giriş kapısını kapatacaktır.
- Ağ Segmentasyonu: WSUS sunucularınızın internete doğrudan açık olmamasını sağlayın. Eğer mecbursa, sadece Microsoft Update sunucularına erişim izni verin ve diğer tüm trafiği kısıtlayın.
- Port Kısıtlaması: WSUS tarafından kullanılan 8530 ve 8531 numaralı TCP portlarını güvenilmeyen kaynaklara kapatın.
- LOLBins İzleme:
certutil.exe,curl.exevepowershell.exegibi araçların beklenmedik ağ aktivitelerini izleyin. Bu araçlar saldırganlar tarafından dosya indirmek için sıkça kullanılmaktadır. - DLL Side-Loading Tespiti: Endpoint Protection (EDR) çözümlerinizde, imzasız DLL dosyalarının yasal uygulamalar tarafından yüklendiği senaryoları (özellikle
ETDCtrlHelper.exegibi) tespit edecek kurallar oluşturun.
Techneiro Analizi
ShadowPad, 2015’ten bu yana siber casusluk dünyasının en tehlikeli oyuncularından biri. Ancak 2025 sonlarında gördüğümüz bu yeni kampanya, saldırganların sadece “arka kapı” bırakmakla kalmayıp, fidye yazılımı (ransomware) dağıtımına da yönelebileceğinin sinyallerini veriyor. Özellikle WSUS gibi merkezi bir yönetim aracının hedef alınması, saldırganların tek bir noktadan tüm kurumsal ağı ele geçirme hedefini (Supply Chain Attack benzeri bir etki) açıkça gösteriyor. Techneiro.com olarak öngörümüz; bu açığın önümüzdeki haftalarda daha fazla grup tarafından, özellikle fidye yazılımı operatörleri tarafından kullanılacağı yönünde.
Daha fazla güvenlik haberi ve teknik analiz için Siber Güvenlik kategorimizi takip etmeye devam edin.
Teknoloji dünyasındaki en son tehditler ve çözümler için Techneiro.com ana sayfasını ziyaret etmeyi unutmayın.
