10 Ekim 2024’te yayınlanan ortak bir danışma belgesinde, ABD ve İngiltere siber kurumları, Rus bilgisayar korsanlarının savunmasız Zimbra ve JetBrains TeamCity sunucularını hedef alan devam eden saldırıları konusunda uyardı.
NSA, FBI, ABD Siber Komutanlığının Siber Ulusal Görev Gücü (CNMF) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından yayınlanan tavsiye niteliğindeki belgede, Rusya Dış İstihbarat Servisi tarafından kullanılan taktikler, teknikler ve prosedürler (TTP’ler) vurgulanıyor. (SVR) bu siber operasyonlarda.
APT29, Cozy Bear, Midnight Blizzard (eski adıyla Nobelium) ve Dukes olarak da bilinen SVR, yabancı istihbarat toplamak ve geleceğin siber olanaklarını sağlamak için sürekli olarak savunma, teknoloji ve finans sektörlerindeki ABD, Avrupa ve küresel kuruluşları hedef alıyor. operasyonlar.
Operasyonları, özellikle Rusya’nın Şubat 2022’den bu yana devam eden Ukrayna işgalini desteklemek amacıyla, hükümet ve özel sektör kuruluşları için küresel bir tehdit oluşturdu.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Bilgisayar korsanları, dünya çapında çeşitli sektörlerdeki kurbanları hedeflemek için Zimbra ve TeamCity sunucularındaki güvenlik açıklarından büyük ölçekte yararlanıyor.
Özellikle, kurban etkileşimi olmadan kullanıcı kimlik bilgilerine ve posta kutularına erişmek için Zimbra’daki bir komut yerleştirme güvenlik açığı olan CVE-2022-27924’ü kullandılar.
Ayrıca, JetBrains TeamCity’deki bir kimlik doğrulama atlama güvenlik açığı olan CVE-2023-42793’ü, rastgele kod yürütmek ve yazılım geliştiricilerin ağlarına yetkisiz erişim elde etmek için kullandılar.
Tavsiye belgesi, SVR’nin ilk erişim, uzaktan kod yürütme ve ayrıcalık yükseltme için kullandığı veya kullanması muhtemel olan iki düzineden fazla güvenlik açığını listeliyor.
Bu güvenlik açıkları, diğerlerinin yanı sıra Cisco IOS XE Yazılımı, RHSA GNU C Kütüphanesi, Haxx Libcur, Supermicro X11SSM-F ve Google Android’deki sorunları içerir.
Bu tehditlere karşı koymak için yazar ajansları, kuruluşların yamaların ve yazılım güncellemelerinin hızlı dağıtımına öncelik vermelerini, İnternet’e erişilebilen gereksiz hizmetleri devre dışı bırakarak saldırı yüzeylerini azaltmalarını ve sürekli tehdit avcılığı faaliyetleri gerçekleştirmelerini önermektedir.
Ayrıca, kimlik doğrulama hizmetleri ve İnternet’e yönelik işlevler için uygun sistem yapılandırmasının, çok faktörlü kimlik doğrulamanın ve sağlam günlük kaydının önemini de vurgularlar.
NCSC operasyon direktörü Paul Chichester, Rus siber aktörlerin çeşitli sektörlerde yama yapılmamış sistemlere erişme konusunda oldukça yetenekli olduğunu ve hedeflerine ulaşmak için bu erişimden yararlanabileceğini vurguladı.
SVR’nin güvenlik açıklarından sürekli olarak yararlanması, kuruluşların siber güvenlik çabalarında uyanık ve proaktif kalmaları gerektiğinin altını çiziyor.
Önerilen hafifletme önlemlerini takip ederek ve en son tehditler hakkında bilgi sahibi olarak kuruluşlar kendilerini bu karmaşık siber saldırılara karşı daha iyi koruyabilirler.
Azaltmalar
- Yama Dağıtımına Öncelik Verin: Yamaları ve yazılım güncellemelerini kullanıma sunuldukları anda hızla dağıtın.
- Saldırı Yüzeyini Azaltın: Gereksiz İnternet erişimine sahip hizmetleri devre dışı bırakın ve güvenilir ağlara erişimi kısıtlayın.
- Sürekli Tehdit Avcılığı Yapın: Yetkisiz faaliyet belirtileri açısından sistemleri düzenli olarak izleyin.
- Çok Faktörlü Kimlik Doğrulamayı Uygulayın: Yeni cihaz kayıtları için ek kimlik sorgulamaları zorunlu kılın ve başarılı kayıtlar konusunda kullanıcıları bilgilendirin.
- Sağlam Günlük Kaydını Etkinleştir: Kimlik doğrulama hizmetlerini ve İnternet’e yönelik işlevleri şüpheli etkinlik açısından izleyin.
Kuruluşlar bu adımları atarak siber güvenlik duruşlarını önemli ölçüde iyileştirebilir ve bu hedefli saldırıların kurbanı olma riskini azaltabilir.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar