Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), yaygın olarak kullanılan sanal sürücü emülasyon yazılımı Daemon Tools’un resmi web sitesini hedef alan aktif bir tedarik zinciri saldırısı keşfetti. Ele geçirilen yükleyici, yasal uygulama ile birlikte arka kapı (backdoor) zararlı yazılımı dağıtarak saldırganların enfekte olan cihazlarda saldırganların istedikleri herhangi bir komutu çalıştırmasına ve cihazları uzaktan kontrol etmesine olanak tanıyor.
Yapılan son telemetri çalışmaları, siber saldırganların 8 Nisan 2026’dan bu yana modifiye edilmiş yazılımları doğrudan üreticinin ana alan adı (domain) üzerinden dağıttığını ortaya koydu. Saldırganların, zararlı yazılımı geçerli bir geliştirici dijital sertifikasıyla imzalayarak başarıyla gizlediği tespit edildi. Söz konusu kötü niyetli müdahale, Daemon Tools’un 12.5.0.2421 sürümünden mevcut en güncel sürüme kadar olan tüm versiyonlarını etkiliyor. Kaspersky, gerekli önlemlerin alınması için Daemon Tools’un geliştiricisi AVB Disc Soft’u bilgilendirdi.
Disk emülasyon yazılımları, doğası gereği düşük seviyeli sistem erişimine ihtiyaç duyduğundan, kullanıcılar kurulum sırasında uygulamaya genellikle yüksek düzeyde yönetici ayrıcalıkları tanımaktadır. Bu güven mekanizması, yazılıma gömülen zararlı yazılımın ana işletim sisteminde derin bir yer edinmesine (foothold) ve cihaz bütünlüğünün ciddi şekilde bozulmasına zemin hazırlıyor. Analizler, saldırganların yasal uygulama ikili dosyalarını (binaries) manipüle ederek işlem başlangıcında kötü niyetli kod çalıştırdığını ve kalıcılık sağlamak için yasal bir Windows hizmetini istismar ettiğini gösteriyor.
Kaspersky telemetri verileri, enfekte olmuş güncellemelerin 100’den fazla ülke ve bölgede küresel çapta yayıldığına işaret ediyor. Mağdurların büyük çoğunluğu Türkiye, Rusya, Brezilya, İspanya, Almanya, Fransa, İtalya ve Çin’de yer alıyor.
Veriler, etkilenen sistemlerin %10’unun ticari işletmelere ve kurumlara ait olduğunu gösteriyor. Daemon Tools her ne kadar bireysel kullanıcılar arasında popüler olsa da kurumsal ortamlardaki varlığı, şirket ağlarını ciddi ikincil risklere maruz bırakıyor.
Perakende, bilim, kamu ve imalat sektörlerindeki kuruluşlara ait ondan fazla makineden oluşan dar bir grupta, Kaspersky GReAT ekibi saldırganların manuel olarak ek zararlı yükler (shellcode injector ve daha önce tanımlanmamış Uzaktan Erişim Truva Atları – RAT’lar) yerleştirdiğini gözlemledi. Kurbanların spesifik endüstri profili ile komutlarda görülen yazım hataları ve tutarsızlıklar, bu takip faaliyetlerinin doğrudan belirli hedeflere yönelik “elle” (hands-on) yürütüldüğünü kanıtlıyor. İmplante edilen zararlılarda Çince diline ait kalıntılar bulunsa da kampanya henüz bilinen herhangi bir tehdit grubuyla ilişkilendirilmiş değil.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Georgy Kucherin, konuya ilişkin şu açıklamada bulundu: “Kullanıcılar, doğrudan resmi bir üreticiden indirilen ve dijital olarak imzalanmış yazılımlara kayıtsız şartsız güvendiği için bu tür bir ihlal geleneksel sınır savunma mekanizmalarını tamamen devre dışı bırakıyor. Bu durum, Daemon Tools saldırısının yaklaşık bir ay boyunca fark edilmeden devam etmesine neden oldu. Bu süre zarfı, saldırının arkasındaki aktörün gelişmiş saldırı yeteneklerine sahip, sofistike bir yapı olduğunu gösteriyor. İhlalin karmaşıklığı göz önüne alındığında, kurumların bünyesinde Daemon Tools yüklü makineleri izole etmeleri ve kurumsal ağ içinde zararlı faaliyetlerin yayılmasını önlemek için kapsamlı güvenlik taramaları yapmaları kritik öneme sahiptir.”
Kaspersky, söz konusu tehlikeli yükleyicilerin çalıştırılmasını aktif olarak tespit edip engellemektedir. Kurumlara, ağlarında Daemon Tools Lite varlığını denetlemeleri, etkilenen uç noktaları izole etmeleri ve yetkisiz komut yürütme veya yanlamasına hareket (lateral movement) faaliyetlerini izlemeleri tavsiye edilmektedir. Bireysel kullanıcıların ise etkilenen uygulamayı derhal kaldırmaları ve sistemlerini derinlemesine bir taramadan geçirmeleri gerekmektedir.
Kaspersky’nin Mart 2026’da yayınladığı çalışma, tedarik zinciri saldırılarının geçtiğimiz 12 ay içinde işletmelerin karşılaştığı en yaygın siber tehdit olduğunu, ancak kuruluşların yalnızca %9’unun bunu öncelikli bir endişe kaynağı olarak gördüğünü ortaya koymuştu.
Yazılım tedarik zinciri saldırılarından kaynaklanan riskleri azaltmak için kuruluşlara şu güvenlik önlemlerini öneriyor:
- Yazılım tedarik zincirlerini denetleyin: Üçüncü taraf uygulamaların kurumsal ortamlarda kullanımına izin vermeden önce üreticinin güvenlik geçmişini değerlendirin, güvenlik açığı bildirim kayıtlarını inceleyin ve sektör güvenlik standartlarına uyumluluğunu doğrulayın.
- Sıkı tedarik ve kullanım protokolleri uygulayın: Kullanılan tüm yazılımlar için düzenli güvenlik denetimleri zorunlu hale getirin ve çalışanların kullandığı araçların kurumun iç güvenlik politikaları ile olay bildirim gerekliliklerine uygun olduğundan emin olun.
- Yönetici yetkilerini sınırlandırın: En az ayrıcalık prensibi ve sıfır güven mimarisi gibi önleyici güvenlik yaklaşımlarını uygulayın. Kullanıcı erişim haklarının sınırlandırılması, güvenilir bir uygulamanın ele geçirilmesi durumunda oluşabilecek etki alanını önemli ölçüde azaltır.
- Sürekli altyapı izleme çözümleri kullanın: Kaspersky Next ürün ailesi gibi Genişletilmiş Tespit ve Müdahale (XDR) çözümlerinin kullanılmasını öneriyor. Bu çözümler, ağ trafiğindeki anomalileri veya güvenilir yazılımlar üzerinden gerçekleştirilen yetkisiz işlemleri gerçek zamanlı olarak tespit etmeye yardımcı oluyor.
- Olay müdahale senaryolarını güncelleyin: Kurumsal güvenlik stratejilerinin tedarik zinciri ihlallerini açık şekilde kapsadığından emin olun. Olay müdahale planları; ele geçirilen üçüncü taraf uygulamaların hızlı şekilde tespit edilmesi, sınırlandırılması ve kurum içi sistemlerden ayrıştırılmasına yönelik önceden tanımlı adımları içermelidir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
