Tek bir kimlikten tüm buluta: kimlik tabanlı saldırılar nasıl çalışır
| Tarih | Haziran 2026 |
|---|---|
| Hedef Platform | Microsoft 365 / Azure (Entra ID, Key Vault, Storage, SQL, VM) |
| Kampanya Durumu | Aktif |
| Kaynak | Microsoft Threat Intelligence (18 Mayıs 2026) |
| MITRE ATT&CK | T1566, T1098, T1087, T1530, T1552, T1078, T1567, T1562, T1219 |
Bu rapor, Microsoft Threat Intelligence tarafından 18 Mayıs 2026 tarihinde kamuoyuyla paylaşılan Storm-2949 kampanyasını ele alıyor. Kampanya, kimlik tabanlı bulut saldırılarının ne denli ileri bir noktaya taşındığını gösteren çarpıcı bir örnek; saldırı boyunca hiçbir zararlı yazılım kullanılmadı.
Rapor; aktörün TTP’lerini (taktikler, teknikler, prosedürler), saldırı zincirini ve SOC ekipleri için algılama önerilerini sunuyor. Klasik CVE raporlarından farklı olarak odak nokta bu saldırıyı durduracak olan şey imza değil, anomali tespiti.
Kampanya Özeti
Storm-2949, 2026 yılında ortaya çıkan ve kimlik tabanlı bulut ihlallerine odaklanan bir tehdit aktörü. Microsoft 365 ve Azure’u hedef alan kampanyada ilk erişim, SSPR (Self-Service Password Reset) akışının sosyal mühendislikle manipüle edilmesi yoluyla elde edildi. Aktör, geleneksel zararlı yazılım kullanmadan tüm bulut altyapısını ele geçirdi ve büyük miktarda hassas veriyi dışarı aktardı.
Microsoft, henüz tam olarak izleyemediği veya kamuoyuna açıklamadığı grupları ‘Storm’ ön ekiyle takip ediyor. Storm-2949 bu kategoride; aktörün devlet destekli mi yoksa tamamen finansal motivasyonlu mu olduğu şu an kesin olarak bilinmiyor.
Bilinen şu: Saldırılar son derece hedefli. Rastgele erişim denemeleri yok. Kurbanlar IT personeli ve üst yönetimden seçilmiş. Bu durum, kampanyanın öncesinde kapsamlı bir keşfetme aktivitesi yapıldığına işaret ediyor; ya önceki bir sızdırma ya da derinlikli bir OSINT çalışması.
Aktörün en dikkat çekici özelliği, işlemlerini meşru Azure yönetim özellikleri üzerinden yürüterek normal yönetici davranışıyla harmanlaması. Klasik lateral movement yerine Azure RBAC izinleri kullanılıyor bu da tespiti önemli ölçüde zorlaştırıyor.
Şekil 1 — Storm-2949 Saldırı Zinciri: SSPR manipülasyonundan VM devralımına uzanan 5 aşamalı zincir
3.1 İlk Erişim: SSPR Manipülasyonu
Saldırı, IT destek personelini taklit eden bir telefon aramasıyla başlıyor. Hedef kullanıcı, hesabının ‘acil doğrulama’ gerektirdiğine ikna ediliyor ve gelen MFA onay isteklerini ‘rutin şifre sıfırlama prosedürü’ olarak onaylaması isteniyor.
Kullanıcı onayladığında aktör SSPR akışını tamamen devralıyor: Mevcut telefon numaraları, e-posta adresleri ve Microsoft Authenticator kayıtları siliniyor. Ardından aktör kendi cihazını yeni MFA yöntemi olarak kaydediyor. Meşru kullanıcı artık hesabına giremez hale geliyor.
3.2 Microsoft 365 Keşif ve Veri Sızdırma
İlk hesap ele geçirildikten sonra aktör Microsoft Graph API kullanarak organizasyonun dizin yapısını taramaya başladı. Kullanıcı hesapları, roller ve grup üyelikleri haritalanırken OneDrive ve SharePoint’e erişim sağlandı.
OneDrive web arayüzü kullanılarak tek bir aksiyonla binlerce dosya indirildi. Özellikle VPN konfigürasyonları ve uzak erişim prosedürlerini içeren IT belgeleri hedef alındı. Bu, UEBA sistemlerinde anormal indirme davranışı olarak algılanabilecek net bir iz.
3.3 Azure Altyapısı Devralma
Saldırının ikinci ve daha ağır aşaması: Azure. Aktör, ele geçirilen hesapların Azure RBAC izinlerini kullanarak App Service publishing profile’larından deployment credential’ları topladı.
Azure Key Vault operasyonu özellikle dikkat çekici: Saldırgan, 4 dakika içinde düzinelerce secret’a erişti. Bunlar arasında veritabanı connection string’leri ve kimlik bilgileri vardı. Bu credential’lar, asıl production web uygulamasına girmek için kullanıldı ve uygulama şifresi değiştirilerek kalıcı kontrol sağlandı.
Devam eden aşamalarda SQL firewall kuralları manipüle edilerek veritabanı içeriklerine erişim sağlandı. Azure Storage account key’leri ele geçirildi ve özel bir Python scriptiyle blob verisi günlerce dışarı aktarıldı.
3.4 VM Ele Geçirme ve Defense Evasion
Son aşamada Azure sanal makineleri hedef alındı. Aktör önce Microsoft Defender’ın gerçek zamanlı korumasını kapattı, ardından ScreenConnect kurdu. ScreenConnect meşru bir uzak yönetim aracı olduğundan EDR sistemlerinde alarm tetiklemesi daha zor.
Şekil 2 — Storm-2949 MITRE ATT&CK Kapsam Haritası: 9 taktik kategorisi, 5 saat içinde
Aşağıdaki tablo, kampanyada gözlemlenen teknikleri MITRE ATT&CK çerçevesiyle eşleştiriyor.
| Taktik | Teknik ID | Açıklama |
|---|---|---|
| Initial Access | T1566 — Phishing | SSPR akışı üzerinden MFA onay kandırmacası |
| Persistence | T1098 — Account Manipulation | Kurbanın MFA yöntemlerini silip kendi cihazını kaydetme |
| Discovery | T1087 — Account Discovery | Microsoft Graph API ile dizin keşfetme |
| Collection | T1530 — Data from Cloud Storage | OneDrive/SharePoint üzerinden binlerce dosya indirme |
| Credential Access | T1552 — Unsecured Credentials | Azure Key Vault’tan veritabanı connection string’leri okuma |
| Lateral Movement | T1078 — Valid Accounts | Ele geçirilen hesaplarla Azure RBAC üzerinden pivot |
| Exfiltration | T1567 — Exfiltration to Cloud | Blob storage’dan Python scriptiyle veri dışarı aktarma |
| Defense Evasion | T1562 — Impair Defenses | VM’lerde Defender real-time protection kapatma |
| C2 | T1219 — Remote Access Software | ScreenConnect kurulumu ile kalıcı erişim |
Klasik saldırı senaryolarında bir zararlı yazılım var, bir C2 sunucu var, bir imza var. Storm-2949’da bunların hiçbiri yok. Aktör her adımda meşru araçları kullandı:
Bu yaklaşım, imza tabanlı savunmaları pratikte devre dışı bırakan bir yöntem. EDR’inizin ‘temiz’ demesi bu durumda hiçbir şey ifade etmiyor. Tespit ancak anomali ve davranış analizi üzerinden mümkün.
Şekil 3 — SOC Tespit Öncelikleri: Storm-2949 tipi saldırılarda öncelikli alarm kaynakları
Aşağıdaki sinyaller, Storm-2949 tipi saldırılar için en güvenilir tespit noktaları. Bir kısmı hazır SIEM kurallarıyla karşılanabilir, bir kısmı UEBA veya manuel tehdit avı gerektiriyor.
Kimlik ve MFA Anomalileri
Microsoft 365 Anomalileri
Azure Kontrol Düzlemi Anomalileri
Endpoint Anomalileri
Aşağıdaki göstergeler Microsoft Threat Intelligence tarafından yayınlanmıştır. IP adreslerini EDR ve firewall kural setiyle eşleştiriniz.
| Tip | Değer | Açıklama |
|---|---|---|
| IP | 176.123.4.44 | Storm-2949 C2 altyapısı |
| IP | 91.208.197.87 | Storm-2949 C2 altyapısı |
| IP | 185.241.208.243 | Storm-2949 C2 altyapısı |
| Araç | ScreenConnect | Kalıcı erişim — uzaktan yönetim aracı |
| Yöntem | Python veri aktarım scripti | Azure Blob Storage exfiltration |
| Hedef | Azure Key Vault | DB connection string ve kimlik bilgisi hırsızlığı |
| Hedef | SSPR akışı | Initial access vektörü |
Storm-2949, bir telefon aramasıyla başlayan ve tüm bulut altyapısını kapsayan bir ihlal zincirinin nasıl kurulabildiğini somut olarak ortaya koyan bir kampanya. Saldırı boyunca hiç zararlı yazılım kullanılmadı; her adım meşru bir Microsoft servisi veya aracı üzerinden yürütüldü.
Savunma tarafında en kritik noktalar: MFA kayıt anomalilerini izlemek, Key Vault erişim günlüklerini aktif olarak sorgulamak ve OneDrive toplu indirme davranışlarını alerta bağlamak. Bu üç kontrol, kampanyanın birden fazla aşamasında erken tespit imkânı sunuyor.
Tehdidin temel dersi: Bulut ortamlarında ‘cihaz güvenli = ortam güvenli’ denklemi artık geçerli değil. Kimlik, yeni perimeter ve bu perimetrin korunması cihaz korumasından farklı bir yaklaşım gerektiriyor.
Microsoft Threat Intelligence (18 Mayıs 2026). How Storm-2949 turned a compromised identity into a cloud-wide breach.
How Storm-2949 turned a compromised identity into a cloud-wide breach
MITRE ATT&CK Framework — enterprise.attack.mitre.org
-
Kuantum bilgisayarlar, klasik bilgisayarların ötesine geçen hesaplama yetenekleriyle, modern kriptografi altyapılarını tehdit eden yeni bir dönemi beraberinde getirmektedir.
Windows Event Forwarding, Windows tabanlı sistemlerde yerel olarak desteklenen günlük merkezileştirme özellikleri sağlar. Microsoft, sunucular üzerindeki logların tek bir yerde toplanması WEF mimarisi ile sağlamaktadır.
Veri Koruma Günü, her yıl 28 Ocak’ta, kişisel verilerin korunması ve veri gizliliği konusunda farkındalık yaratmak amacıyla belirlenmiş bir gündür.
USOM, Ulusal Siber Olaylara Müdahale Merkezi kelimelerinin kısaltmasıdır. USOM, 2013’de “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” 4.maddesi dahilinde BTK bünyesinde kurulmuştur.
