sahte it destek telefonu açarak havoc c2 dağıtan kampanya
arkadaşlar, yeni bir sosyal mühendislik kampanyası var ortada ve klasik “it destek” numarası yapıyorlar. huntress geçen ay 5 farklı organizasyonda tespit etmiş bu saldırıları. olay şöyle: önce spam mail atıyorlar, ardından sizi arayıp “it desteğiz” diyorlar. sonra da havoc c2 framework’ünü sisteminize yerleştiriyorlar. yani ransomware veya veri sızdırma için zemin hazırlıyorlar.
spoiler: bu kampanya çok profesyonel görünüyor, çünkü her organizasyon için özelleştirilmiş havoc c2 kullanmışlar.
saldırı nasıl ilerliyor
şöyle bir senaryo izliyorlar:
- spam mail: önce size bir mail geliyor, genelde “hesabınızda şüpheli aktivite” veya “sistemde sorun var” tarzı
- telefon araması: ardından sizi arayıp kendilerini it destek olarak tanıtıyorlar (çok ikna edici oluyorlar)
- uzaktan erişim: “sorununuzu çözelim” deyip uzaktan erişim yazılımı kurduruyorlar
- havoc c2: arka planda havoc framework’ünü sisteme yerleştiriyorlar
- sonuç: artık sisteminizde kalıcı erişimleri var, veri çalabilir veya fidye yazılımı atabilirler
havoc nedir ki bu
havoc, cobalt strike benzeri bir c2 (command and control) framework’ü. yani saldırganlar bununla sisteminizde uzaktan komut çalıştırabiliyorlar. kötü haber: açık kaynak ve ücretsiz olduğu için herkes kullanabiliyor. iyi haber: imzaları biliniyor, tespit edilebiliyor (eğer doğru araçlarınız varsa).
tehdit seviyesi
bu kampanya ciddi çünkü:
- 🔴 özelleştirilmiş saldırı: her organizasyon için farklı havoc c2 konfigürasyonu
- 🔴 sosyal mühendislik: teknik değil, insanları kandırıyorlar
- 🔴 ransomware öncüsü: genelde bu tip saldırılar fidye yazılımıyla sonuçlanıyor
- 🟠 çok aşamalı: mail + telefon kombinasyonu çok etkili oluyor
etkilenen sistemler
| Sistem/Durum | Açıklama |
|---|---|
| Tüm işletim sistemleri | ✅ Havoc C2 cross-platform çalışıyor |
| Windows | ✅ Birincil hedef |
| Linux | ✅ Etkilenebilir |
| macOS | ✅ Etkilenebilir |
ne yapmalısınız
kullanıcı eğitimi (en önemli)
agalar, bu saldırı tamamen sosyal mühendislik. teknik savunmadan önce kullanıcılarınızı eğitin:
- it destek ekibinizin nasıl iletişim kurduğunu net tanımlayın
- “beklenmedik destek telefonu gelirse doğrulayın” kuralı koyun
- resmi destek kanallarınızı herkesin bilmesini sağlayın
- hiçbir zaman telefonda uzaktan erişim vermeyin
teknik önlemler
# 1. Havoc C2 network trafiğini tespit edin
# Huntress'in IOC'lerini SIEM'inize ekleyin
# 2. Endpoint detection kuralları
# Havoc için bilinen imzaları EDR'ınıza ekleyin
# 3. Email gateway'de spam filtreleme
# "IT support", "account suspended" gibi kelimeleri flagleyin
# 4. Uzaktan erişim yazılımlarını kontrol edin
# TeamViewer, AnyDesk gibi araçların kullanımını logla
tespit için kontroller
şunları arayın sistemlerinizde:
# Windows'ta şüpheli process kontrol
Get-Process | Where-Object {$_.ProcessName -like "*havoc*"}
# Şüpheli network bağlantıları
netstat -ano | findstr "ESTABLISHED"
# Son yüklenen programlar
Get-WmiObject -Class Win32_Product | Sort-Object -Property InstallDate -Descending | Select-Object -First 20
acil müdahale
eğer saldırıya uğradıysanız:
- izole edin: etkilenen makineyi ağdan ayırın (kablo çekin, wifi kapatın)
- değiştirin: tüm şifreleri değiştirin (özellikle admin hesapları)
- tarayın: forensic analiz yapın, havoc c2 kalıntılarını arayın
- bildirin: siber olay müdahale ekibinizi harekete geçirin
huntress’in bulguları
huntress raporunda şunları vurguluyor:
- saldırganlar her organizasyon için farklı c2 sunucusu kullanmış
- havoc’un custom loader’ları kullanılmış (imza atlatmak için)
- saldırı süresi ortalama 3-5 gün (ilk mail’den ransomware’e kadar)
- bazı vakalarda veri sızdırma da yapılmış
edit: huntress bu kampanyayı “highly targeted” olarak sınıflandırmış, yani rastgele değil, belli sektörleri hedef alıyorlar.
sektör tavsiyeleri
özellikle şu sektörler dikkat etmeli:
- sağlık: hassas veri çok, fidye potansiyeli yüksek
- finans: aynı şekilde yüksek riskli
- eğitim: genelde güvenlik zayıf, kolay hedef
- kobilerin: it destek ekibi olmayabilir, daha savunmasız
sonuç
arkadaşlar, bu kampanya teknik değil sosyal mühendislik ağırlıklı. en iyi savunmanız kullanıcı eğitimi. şunu kurum kültürü haline getirin: “it destek sizi arayıp uzaktan erişim istemez, siz ararsınız onları”.
yapmanız gerekenler:
- kullanıcılarınızı eğitin (bugün yapın bunu)
- it destek prosedürlerinizi netleştirin
- uzaktan erişim yazılımlarını kontrol altına alın
- edr/xdr çözümünüzde havoc imzalarını güncelleyin
- email gateway’inizi sıkılaştırın
dikkat: bu tip saldırılar genelde iş saatleri içinde geliyor, çünkü “it destek” rolünü oynamak için normal çalışma saatleri mantıklı geliyor saldırganlara.
kaynaklar
- Huntress Blog - Orijinal Rapor
- The Hacker News - Haber
- Havoc Framework GitHub
- MITRE ATT&CK - Phishing (T1566)
- MITRE ATT&CK - Remote Access Software (T1219)
bkz: sosyal mühendislik saldırıları bkz: havoc c2 framework bkz: ransomware öncesi aktiviteler
son not: bu saldırıda cve numarası yok çünkü teknik bir açık sömürülmüyor, insan zafiyeti sömürülüyor. en güncel “zafiyet” hala insanlar maalesef.
Bu içerik yapay zeka tarafından oluşturulmuştur.