velvet tempest grubu clickfix ile termite fidye yazılımı dağıtıyor

Posted on 8 Mar 2026

arkadaşlar, velvet tempest denen fidye yazılımı grubu yine iş başında. bu sefer clickfix tekniğini kullanarak termite ransomware’i dağıtıyorlar. işin ilginç yanı, windows’un kendi araçlarını kullanarak donutloader ve castlerat denen arka kapıyı sisteme yerleştiriyorlar. klasik “meşru araçlarla kötü iş” hikayesi yani.

olay nasıl gelişiyor

velvet tempest grubu (microsoft’un storm-0875 dediği tipler), clickfix denen sosyal mühendislik tekniğini kullanıyor. şöyle ki:

  • kullanıcıya sahte bir hata mesajı gösteriyorlar
  • “sorunu çözmek için” bir düğmeye tıklamasını istiyorlar
  • tıklayınca aslında kötü niyetli powershell komutları çalışıyor
  • bu komutlar donutloader’ı indirip çalıştırıyor
  • sonra castlerat arka kapısı sisteme yerleşiyor
  • en sonunda termite fidye yazılımı devreye giriyor

spoiler: bütün bunlar windows’un meşru araçları (powershell, mshta, rundll32) kullanılarak yapılıyor, yani antivirüs atlatma şansları yüksek.

teknik detaylar

saldırı zinciri şöyle ilerliyor:

  1. ilk enfeksiyon: clickfix tekniği ile kullanıcı kandırılıyor
  2. donutloader: powershell üzerinden yükleniyor
  3. castlerat: arka kapı olarak sisteme yerleşiyor
  4. termite ransomware: final aşaması

castlerat’ın özellikleri:

  • uzaktan komut çalıştırma
  • dosya indirip yükleme
  • ekran görüntüsü alma
  • keylogger (tuş kaydedici)
  • sistem bilgisi toplama

kimler risk altında

SektörRisk Seviyesi
Kurumsal şirketler🔴 Yüksek
Finans sektörü🔴 Yüksek
Sağlık kuruluşları🔴 Yüksek
Eğitim kurumları🟠 Orta
KOBİ’ler🟠 Orta

ne yapmalısınız

şimdi agalar, yapmanız gerekenler:

1. kullanıcı eğitimi (acil)

  • clickfix tarzı sahte hata mesajlarına dikkat
  • “sorunu çözmek için tıklayın” diyorsa şüphelenin
  • bilinmeyen kaynaklardan gelen “düzeltme” talimatlarına inanmayın

2. powershell politikaları

# powershell execution policy'yi kısıtlayın
Set-ExecutionPolicy -ExecutionPolicy Restricted -Scope LocalMachine

# powershell scriptblock logging'i aktif edin
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1 -PropertyType DWORD

3. uygulama kısıtlamaları

# applocker ile mshta.exe ve rundll32.exe kullanımını kısıtlayın
# sadece güvenilir konumlardan çalışmasına izin verin

4. ağ izleme

şu aktiviteleri izleyin:

  • anormal powershell trafiği
  • mshta.exe’nin beklenmedik kullanımı
  • rundll32.exe’nin şüpheli davranışları
  • bilinmeyen sunuculara bağlantılar

5. endpoint koruma

# edr/xdr çözümlerinizde şunları arayın:
- donutloader ioc'leri
- castlerat davranış imzaları
- termite ransomware hash'leri

tespit için ioc’ler

velvet tempest’in kullandığı bazı göstergeler:

  • dosya hash’leri: bleepingcomputer’ın raporunda detaylı liste var
  • network ioc’leri: c2 sunucu adresleri
  • davranış imzaları: powershell + mshta + rundll32 kombinasyonu

edit: microsoft defender ve diğer büyük antivirüsler bu tehditleri tespit edebiliyor, ama güncel tutmanız lazım.

geçici çözümler

hemen yamalama şansınız yoksa:

  1. powershell’i kısıtlayın: constrained language mode kullanın
  2. script execution’ı engelleyin: applocker/software restriction policies
  3. email filtreleme: clickfix içeren mailleri engelleyin
  4. user awareness: kullanıcıları uyarın, poster asın, mail atın

yedekleme stratejisi

arkadaşlar, fidye yazılımına karşı en iyi savunma yedektir:

# 3-2-1 kuralı:
# 3 kopya
# 2 farklı ortam
# 1 offsite/offline yedek

# offline yedeklerinizi network'ten izole edin
# immutable storage kullanın

dikkat: velvet tempest grubu yedekleri de silmeye çalışıyor, o yüzden offline yedek şart.

sonuç

velvet tempest grubu oldukça organize ve teknik bir ekip. clickfix tekniği son zamanlarda popüler, çünkü kullanıcıları kandırmak teknik açıklardan daha kolay.

yapmanız gerekenler:

  • ✅ kullanıcı eğitimi (en önemli)
  • ✅ powershell politikaları
  • ✅ endpoint koruma güncellemesi
  • ✅ ağ izleme kuralları
  • ✅ offline yedekleme

spoiler: bu tür sosyal mühendislik saldırılarında en zayıf halka kullanıcı. ne kadar teknik önlem alırsanız alın, kullanıcı eğitimi olmadan olmaz.

kaynaklar

edit: bu yazıyı okuduktan sonra hemen kullanıcılarınıza bir mail atın, clickfix konusunda uyarın. sonra “ben söylemedim mi” dememek için.

Bu içerik yapay zeka tarafından oluşturulmuştur.