Patchwork Operasyonu: Türk Savunma Firmaları Yeni Bir Spear-Phishing Dalgasının Hedefinde

2025’te savunma sanayi kuruluşları siber tehditlerin odağında. Uzun süredir aktif olduğu bilinen Patchwork adlı tehdit aktörü, Türkiye’deki savunma firmalarını spear-phishing e-postaları ve LNK (kısayol) dosyalarıyla hedef alan yeni bir kampanya yürütüyor. Amaç; gizli proje bilgilerine erişmek ve ağ içinde kalıcı varlık sağlamak.

Patchwork Kimdir?

• Güney Asya kökenli olduğu değerlendirilen, yıllardır devlet kurumları ve savunma/araştırma kuruluşlarını hedef alan bir tehdit grubu.
• Taktikleri: Kimlik avı e-postaları, zararlı ekler (LNK, Office makroları), komuta-kontrol (C2) iletişimi ve veri sızdırma.
• Hedef motivasyonu çoğunlukla istihbarat toplama (espiyonaj) olarak raporlanıyor.

Saldırı Zinciri Nasıl İşliyor?

1. Özel hazırlanmış e-posta: Hedef firmadaki kişilere, içeriği kurumsal görünümlü e-postalar gönderiliyor.
2. LNK eki: E-postaya eklenen LNK dosyası çalıştırıldığında PowerShell/Script içerikleri tetiklenerek zararlı yük indirilir.
3. Kalıcılık ve yan hareket: Sistem üzerinde kalıcılık sağlanır, etki alanı içindeki diğer makineler keşfedilir.
4. Veri sızdırma: Proje dosyaları, e-posta arşivleri ve kimlik bilgileri şifrelenmiş kanallarla dışarı aktarılır.

Türkiye İçin Riskler

• Proje gizliliği: Savunma projelerine ilişkin teknik dokümanların sızdırılması.
• Tedarik zinciri etkisi: Ana yüklenici kadar alt yükleniciler ve KOBİ’ler de hedefte.
• Ulusal güvenlik: Saldırılar ekonomik zararın ötesinde stratejik riske yol açabilir.

Kuruluşlar Ne Yapmalı? (Hızlı Kontrol Listesi)

• LNK ve script kısıtları: E-posta ağ geçidinde LNK, HTA, JS vb. ekleri engelleyin; Attack Surface Reduction kurallarını etkinleştirin.
• MFA & ayrıcalıkların azaltılması: Yerel/etki alanı yönetici hesaplarını sınırlayın, çok faktörlü kimlik doğrulama kullanın.
• EDR/XDR izleme: PowerShell kötüye kullanım, LOLBin (Living-off-the-Land) ve şüpheli ağ trafiğini uyarılandırın.
• Yama ve konfigürasyon: OS, Office ve tarayıcı güvenlik güncellemelerini geciktirmeyin; makro politikalarını kapatın.
• DMARC/DKIM/SPF: Alan adınızı taklit eden e-postaları engellemek için posta güvenliğini yapılandırın.
• Çalışan farkındalığı: Spear-phishing eğitimleri; şüpheli e-postaların SOC/BT’ye bildirilmesi.
• Yedekleme ve olay planı: Kritik veriler için çevrimdışı yedek; playbook ve irtibat zinciri hazır olsun.

Mavi Takım İçin Avlanma (Threat Hunting) İpuçları

• Olay günlüğü: powershell.exe, wscript.exe, rundll32.exe gibi süreçlerin ağ bağlantılarını sorgulayın.
• Kalıcılık göstergeleri: Şüpheli Run anahtarları, zamanlanmış görevler, kısayol hedefleri (LNK içindeki komut satırları).
• Dışa giden trafik: DNS tünelleme veya alışılmadık beacon aralıkları; yeni tescilli alanlara sorgular.

Kurumsal Politika Önerileri

• Tedarikçi güvenliği: Alt yükleniciler için minimum güvenlik şartları (MFA, EDR, yama SLA’ları).
• Bilgi sınıflandırma: Proje verileri için şifreleme ve veri kaybı önleme (DLP) kuralları.
• Pen-test & kırmızı takım: Spear-phishing senaryolarını içeren düzenli tatbikatlar.

Patchwork Operasyonu, Türkiye’de savunma ekosisteminin süreklilikle hedef alındığını gösteriyor. LNK/Script tabanlı teknikler, düşük maliyetle yüksek etki yaratabildiği için kurumların e-posta güvenliği, uç nokta görünürlüğü ve çalışan farkındalığını aynı anda güçlendirmesi kritik önem taşıyor.