ABD ve İngiltere siber teşkilatları bugün, Rusya’nın Dış İstihbarat Servisi (SVR) ile bağlantılı APT29 bilgisayar korsanlarının savunmasız Zimbra ve JetBrains TeamCity sunucularını “kitlesel ölçekte” hedef aldığı konusunda uyardı.
NSA, FBI, ABD Siber Komutanlığının Siber Ulusal Görev Gücü (CNMF) ve Birleşik Krallık’ın NCSC’si tarafından yayınlanan ortak bir tavsiye belgesi, ağ savunucularını devam eden bu saldırıları engellemek için açıktaki sunuculara yama yapmaları konusunda uyarıyor.
Dört siber kurum, bilgisayar korsanlığının CVE-2022-27924 ve CVE-2023-42793 istismarlarını kullanarak “dünya çapında çeşitli sektörlerdeki kurbanları hedef almak üzere kitlesel ölçekte” çevrimiçi olarak açığa çıkan yamalanmamış Zimbra ve TeamCity sunucularını hedef aldığını söyledi.
CVE-2022-27924, en az Ağustos 2022’den beri yamalı Zimbra İşbirliği örneklerinden e-posta hesabı kimlik bilgilerini çalmak için kullanılırken, CVE-2023-42793 hem fidye yazılımı çeteleri hem de Kuzey Koreli bilgisayar korsanlığı grupları tarafından ilk erişim ve tedarik zinciri saldırıları girişimleri için kullanıldı. .
“SVR siber aktörlerinin TTP’lerine ve önceki hedeflemelerine dayanarak, yazar kurumlar ilk erişim, uzaktan kod yürütme ve ayrıcalık yükseltme için ek CVE’lerden yararlanma kapasitesine ve ilgisine sahip olduklarını değerlendiriyor” diye eklediler.
Tavsiye belgesi, son altı yılda açıklanan ve düzeltilen iki düzine güvenlik açığını listeliyor ve savunuculardan güvenlik ihlallerini önlemek için güvenlik yamaları dağıtmalarını ve azaltıcı önlemleri uygulamalarını istiyor.
Cozy Bear, Midnight Blizzard (eski adıyla Nobelium) ve Dukes adlarıyla da takip edilen bu SVR hack grubu, yıllardır Amerika Birleşik Devletleri ve Avrupa’daki hükümet ve özel kuruluşları hedef alıyor.
NSA, FBI ve CISA, üç yıldan uzun bir süre önce, Nisan 2021’de, APT29 bilgisayar korsanlarının düzenledikleri SolarWinds tedarik zinciri saldırısının ardından birden fazla ABD federal kurumunu ihlal etmesinden sonra benzer bir uyarı yayınladı.
Ayrıca dış politikayla ilgili verileri çalmak için NATO ülkelerinin Microsoft 365 hesaplarına da saldırdılar ve Kasım 2023’te Microsoft yöneticilerinin ve diğer şirketlerin Exchange Online hesaplarını ihlal ettiler.
Daha yakın zamanda Beş Göz (FVEY) istihbarat ittifakı Şubat ayında APT29’un potansiyel kurbanların bulut hizmetlerini de hedef almaya başladığı konusunda uyardı.
NSA Siber Güvenlik Direktörü Dave Luber, “Bu faaliyet hükümet ve özel sektör için küresel bir tehdittir ve yamaların önceliklendirilmesi ve yazılımın güncel tutulması da dahil olmak üzere güvenlik kontrollerinin kapsamlı bir şekilde gözden geçirilmesini gerektirir” dedi.
“Güncellenen kılavuzumuz, ağ savunucularının bu izinsiz girişleri tespit etmelerine ve sistemlerini güvence altına almak için gerekli adımları atmalarına yardımcı olacak.”