Siber suç, sahtekarlık yönetimi ve siber suç, olay ve ihlal yanıtı
Ayrıca, AI video alay eden Trump ve Musk HUD ofislerini bozar
Anviksha More (Anvikshamore) •
27 Şubat 2025
Her hafta, Bilgi Güvenliği Medya Grubu, dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. This week, a US Army soldier pleaded guilty to selling telecom data, an AI video displayed in a government building mocked US President Donald Trump and Elon Musk, a Saudi firm hit by ransomware, a new North Korean job lure scam, hackers targeted Ukrainian notaries, the US Cybersecurity and Infrastructure Security Agency flagged two flaws, a botnet exploited Microsoft 365 to launch password attacks, ve 2.000’den fazla Ivanti VPN’si açılmamış.
Ayrıca bakınız: Dijital adli tıp ve olay yanıtı için Gartner Rehberi
ABD Ordusu Askeri, çalınan AT & T, Verizon Verileri Satıştan Suçlu Olan
ABD Ordusu İletişim Uzmanı Cameron John Wagenius, AT&T ve Verizon’dan çalınan müşteri çağrı kayıtlarını yasadışı bir şekilde satmak ve sızdırmaktan suçlu bulundu.
Federal yetkililer Aralık 2024’te Fort Cavazos, Teksas’ta Wagenius’u tutukladı. Wagenius çevrimiçi olarak “Kiberphant0m” olarak çalıştı ve şirketleri çalınan veriler üzerinden zorlayan bir hack grubunun parçasıydı.
Yetkililer, grubun büyük şirketleri hedefleyen bulut tabanlı veri ambarı platformu kar tanesi hesaplarında zayıf güvenlikten yararlandığını söyledi. En zorlu kurbanlardan biri olan AT&T, daha fazla sızıntıyı önlemek için 370.000 dolar ödedi. Wagenius’un şirketten 500.000 dolar talep ettiği ve çalınan verileri serbest bırakmakla tehdit ettiği iddia edildi.
Savcılar, tutuklanmasından önce Wagenius’un özetleme dışı ülkelere kusma yollarını aradığını söyledi. Ayrıca, bir yabancı istihbarat ajansına çalınan veri satmaya çalıştığı ve pasaportlar ve sürücü lisansları da dahil olmak üzere 17.000’den fazla kimlik belgesine sahip olduğu bildirildi.
19 Şubat duruşması sırasında savcılar onun bir uçuş riski olduğunu ve cezalandırmayı bekleyen serbest bırakılmaması gerektiğini savundular. Ordu onu taburcu etme sürecindedir.
AI Video alaycı Trump ve Musk HUD ofislerini bozar
Elon Musk’un ayaklarını emen Donald Trump’ın AI tarafından üretilen bir videosu olan görünen bir içeriden gelen hack, “Long Live the Real King” başlıklı ABD, Washington’daki konut ve kentsel kalkınma merkezinde, DC personeli onu kapatmak için uğraştı, sonunda TV’leri katla faturalandırdı.
Tuhaf olay, Trump’ın son “Long Live the King” direk üzerine gerçek Social’ı takip ediyor. Beyaz Saray, bir taçta Trump’ın yapay zeka görüntüsünü içeren yanıt verdi. Video, tüm HUD işçilerinin uzaktan çalışmayı sona erdiren Beyaz Saray siparişlerine uymak için tam zamanlı olarak ofise dönmeleri bekleniyordu.
Dragonforce Fidye Yazılımı Suudi firmasına isabet ediyor, 6 TB veri sızdırıyor
Dragonforce fidye yazılımı kullanan bilgisayar korsanları, Suudi Arabistan’ın Riyad kentinde büyük bir emlak ve inşaat şirketi olan Al Bawani’ye saldırdı. Siber güvenlik firması yeniden güvenliğine göre, enerji, petrol ve gaz, hükümet ve savunma projelerinde yer alan firma altı terabayttan fazla bir veri ihlali yaşadı.
Fidye yazılımı çetesi, 14 Şubat’ta gasp girişimlerine başladı ve 28 Şubat için bir ödeme son tarihi belirledi ve Al Bawani’nin görmezden geldiği ve hassas kurumsal belgelerin halka açık bir şekilde yayınlanmasına yol açtı.
Kuzey Koreli hackerlar iş aldatmacası ile serbest geliştiricileri hedefleyin
Siber güvenlik firması ESET, serbest yazılım geliştiricilerini hedefleyen ve onları kötü amaçlı yazılım yüklemeye kandıran DeceeptivedEvelopment olarak adlandırılan başka bir Kuzey Kore iş cazibesi kampanyasını ortaya çıkardı.
Sahte işe alım, geliştiricilerin bilgisayarlarını gözetlemek veya orada ikamet edebilecek herhangi bir kripto para birimini çalmak için Kuzey Kore sosyal mühendisliğinin temelini oluşturmuştur.
Operasyon, Upwork, Freelancer.com ve Crypto Jobs Listesi gibi platformlardaki geliştiricileri hedefliyor ve 2023’ten beri aktif. Hackerlar işe alım görevlileri olarak poz veriyor, GitHub’da truva kod tabanlarını paylaşıyor veya kurbanları kötü amaçlı yazılımlar ile bağlanmış video konferans yazılımı kurmaya kandırıyor. Kötü amaçlı yazılım aileleri Beaverail ve InvisibleFerret kimlik bilgileri, kripto para cüzdanları ve hassas veriler çalar.
Kampanya, ABD, Hindistan, Finlandiya ve diğer birçok ülkedeki geliştiricileri hedef alıyor ve bilgisayar korsanları finansal kazancı en üst düzeye çıkarmak istiyor.
Hackerlar için Hedef Ukraynalı noterler, devlet kayıtlarını ihlal etmek için
Ukrayna Devlet Siber Güvenlik Ajansı CERT-UA, hükümet kayıtlarına sızmak için noterleri hedefleyen bir kampanya konusunda uyardı. CERT-UA tarafından UAC-0173 olarak izlenen saldırganlar, Ocak ayından beri kimlik avı e-postalarını dağıtıyor ve kurbanların bilgisayarlarına uzaktan erişim sağlamak için Adalet Bakanlığı’nın bölgesel ofislerini taklit ediyorlar.
İçeri girdikten sonra, bilgisayar korsanları veri hırsızlığı, gözetim ve uzaktan kod yürütme yeteneğine sahip ticari bir Rus arka kapısı olan DarkCrystal’ı kullanıyor. Rus yeraltı forumlarında ucuza satılan kötü amaçlı yazılım, saldırganların güvenlik önlemlerini atlamasına, kimlik bilgilerini çalmasına ve hatta daha fazla kimlik avı e -postaları göndermek için tehlikeye atılmış cihazları kullanmasına izin veriyor. CERT-UA, altı Ukrayna bölgesindeki etkilenen bilgisayarları tanımladı ve bazı durumlarda devlet kayıtlarında yetkisiz değişiklikleri durdurdu.
CERT-UA, UAC-0173’ün kiralık bir hack siber grubu olarak çalıştığını söyledi.
CISA bayrakları Microsoft Ortak Merkezi, Zimbra aktif olarak sömürüldüğü gibi kusurlar
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bilinen sömürülen güvenlik açıkları kataloğuna Microsoft Ortak Merkezi ve Synacor Zimbra işbirliği paketini etkileyen iki güvenlik açığı ekledi.
Kusurlar, Microsoft Partner Center’da ayrıcalık artışını, CVSS 8.7 ile CVE-2024-49035’i, Kasım 2024’te yamalı CVE-2024-49035’i ve Temmuz 2023’teki uzaktan kod yürütmede Zimbra ZC’leri olan CVE-2023-34192’yi Temmuz 2023’te tespit eden Zimbra ZC’leri içerir.
Federal ajanslar riskleri azaltmak için 18 Mart’a kadar yamalar uygulamalıdır. Microsoft daha önce kabul edilen CVE-2024-49035’ten yararlanmış olsa da, ayrıntıları açıklamamıştır.
İki binden fazla Ivanti VPN’si kaldı
Siber güvenlik araştırmacıları, dünya çapında 2.850’den fazla Ivanti Connect Secure VPN cihazlarını belirledi ve kuruluşları CVE-2025-22467 aracılığıyla uzaktan kod uygulamasına karşı savunmasız bıraktı.
Shadowserver Vakfı’na göre, Amerika Birleşik Devletleri’ndeki 852 cihaz ve Japonya’da 384 savunmasız. Yanlış giriş validasyonundan kaynaklanan kusur, saldırganların ağlara sızmasına, verileri çalmasına ve fidye yazılımı dağıtmasına olanak tanır. Ivanti Şubat ayında bir yama yayınladı.
Parola saldırıları başlatmak için botnet Microsoft 365’ten istismar
130.000’den fazla uzlaşmış cihazdan oluşan bir botnet, güvenlik puan kartında araştırmacılar bularak, etkileşimli olmayan işaretlerden yararlanarak Microsoft 365 hesaplarına büyük ölçekli bir şifre püskürtme saldırısı yürütüyor.
Güvenlik uyarılarını tetikleyen geleneksel şifre saldırılarının aksine, bu yöntem saldırganların, doğrudan kullanıcı girişi gerektirmeyen hizmet hesapları ve otomatik işlemler tarafından kullanılan etkileşimli olmayan girişlerden yararlanarak algılamayı atlamalarına izin verir.
Saldırılar dünya çapında birden fazla M365 kiracı arasında gözlemlendi ve araştırmacılar kuruluşları etkileşimli olmayan oturum açma günlüklerini kontrol etmeye ve kimlik bilgilerini derhal döndürmeye çağırıyor.
Araştırmacılar Çin bağlantılı bir gruptan şüpheleniyor, ancak ilişkilendirme kesin değil.
Geçen haftadan diğer hikayeler
İngiltere’nin güneyinde bilgi güvenliği medya grubunun Akshaya Asokan’dan raporlar.