Breach Roundup: Sinyal güvenlidir

Siber suç, sahtekarlık yönetimi ve siber suç, olay ve ihlal yanıtı

AYRICA: Famoussparrow geri döndü, Snowflake Hacker iade etmeyi kabul ediyor

Anviksha More (Anvikshamore) •
27 Mart 2025

Her hafta, Bilgi Güvenliği Medya Grubu, dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. Bu hafta, sinyalden bir güncelleme, ünlüsparrow geri döndü, şüpheli bir kar tanesi hacker ABD’nin iade edilmesini kabul etti, Ukrayna’da bir hack tren bilet satışları, Google bir krom sıfır gün, kimlik avı ile hedeflenen SEO profesyonelleri, Draytek yönlendirici kesintisi, Güney Afrika tavuk üreticisi ve kötü NPM paketleri.

Ayrıca bakınız: Dijital adli tıp ve olay yanıtı için Gartner Rehberi

Signal’ın uçtan uca şifrelemesinde, bilgisayar korsanlarının şifreli sohbetlere göz atmasına izin veren bir güvenlik açığı yok, Signal başkanı Meredith Whittaker Çarşamba günü tekrarladı.

Atlantik genel yayın yönetmeni Jeffrey Goldberg Pazartesi günü açıklamasının ardından sohbet uygulaması, Beyaz Saray’ın onu Yemen’deki Houthi hedeflerini bombalamak için gizli planları tartışan bir sohbet grubuna eklediğini açıkladı.

Goldberg’in hikayesinin yayınlanmasının ardından NPR, Savunma Bakanlığı’nın Rus ulus-devlet hacker’ın sosyal mühendis kullanıcılarına erişim sağlama çabalarını vurgulayan bir uyarı yayınladığını bildirdi (bakınız: Ukraynalı sinyal kullanıcıları Rus sosyal mühendisliğine düşüyor).

“Bir Pentagon danışma notunda rapor vermek, yanlış anlamanın merkezinde yer alıyor gibi görünüyor,” diye gönderdi Signal. “Not, sinyal ile ilgili olarak ‘güvenlik açığı’ terimini kullandı – ancak Signal’ın çekirdek teknolojisiyle hiçbir ilgisi yoktu. Sinyal kullanıcılarını hedefleyen kimlik avı dolandırıcılarına karşı uyarıdı.”

Şirket, “Sinyal özel, güvenli iletişim için altın standart olmaya devam ediyor.” Dedi.

Cumhurbaşkanı Donald Trump Çarşamba günü skandaldan Fallout’u “cadı avı” olarak nitelendirdi.

ESET tarafından ünlüsparrow olarak izlenen Çin siber boyama grubu, Temmuz 2024’te bir ABD ticaret grubunu ve bir Meksika araştırma enstitüsünü hedef aldı ve yükseltilmiş bir Sparrowdoor arka kapısı kullandı. ESET araştırmacıları Çarşamba günü grubun ayrıca “sadece Çin uyumlu tehdit aktörlerine sağlandığı bilinen özel olarak satılan bir arka kapı olan ShadowPad’i de konuşlandırdığını söyledi.

Araştırmacılar, dünyanın dört bir yanındaki otellere, hükümetlere ve uluslararası kuruluşlara karşı hedeflenen bir faaliyet döküntüsünün ardından 2022’den beri görünür faaliyet eksikliği göz önüne alındığında grubun uykuda kaldığını düşündüler.

Araştırmacılar, grubun bir modüler olmak üzere iki yeni Sparrowdoor varyantını tanıttığını ve komut yürütme verimliliğini geliştirdiğini söyledi. Kötü amaçlı yazılım artık dosya işlemleri, etkileşimli kabuklar ve sistem izleme dahil olmak üzere paralel görev işlemeyi desteklemektedir.

ESET, Famoussparrow’un ABD telekom ağlarına giriş döküntüsünün arkasındaki başka bir tanınmış Çin tehdit oyuncusu olan Salt Typhoon’dan farklı bir tehdit oyuncusu olduğunu savunuyor (bakınız: Tuz tayfun tarafından hedeflenen güvenlik açıkları için yama gecikmeleri).

Salt Typhoon’u takma adına veren şirket olan Microsoft, ikisini birbirine bağladı. ESET, ünlüsparrow’un diğer gruplarla bazı teknik örtüşmeye rağmen kendi farklı kümesi gibi göründüğünü söylüyor. Firma, örtüşmenin muhtemelen Pekin destekli bir organizasyonun, birçoğu özel sektör müteahhitleri olan bir tehdit aktörleri ağı arasında hackleme araçlarını ve altyapısını paylaştığını öne süren “dijital çeyrek yöneticisi” teorisinin kanıtı olduğunu söylüyor.

ABD Ticaret Grubuna yönelik saldırı, bir IIS sunucusuna dağıtılan ve eski Windows Server ve Microsoft Exchange örneklerinden yararlanan bir web kabuğu ile başladı. Web kabuğu, temelde Sparrowdoor ve ShadowPad’i düşüren Base64 kodlu bir .NET yükü yürüttü.

Bir Sparrowdoor versiyonu, Kasım 2024’te Trend Micro tarafından adlandırılan ve firma tarafından Dünya estires olarak izlediği Çin tehdit oyuncusuna atfedilen Crowdoor’a benziyor – bir grup Micro, Tuz Typhoon ile bağlantılı. Başka bir arka kapı, tuş vuruşu günlüğü, dosya transferleri, TCP vekilleri, proses manipülasyonu ve RDP ekran görüntüleri için dokuz modül içeren eklenti tabanlı bir yaklaşımı takip eder.

ESET’in bulguları, ünlüsparrow’un görünür dinlenmesi sırasında aktif olduğunu ve daha siber siber müdahaleler için araçlarını geliştirdiğini gösteriyor.

Cyberscoop, Alexander Antonin Moucka olarak da bilinen Connor Riley Moucka’nın Kanada’dan Amerika Birleşik Devletleri’ne iade edilmeyi kabul ettiğini ve burada 20 sayım suçu iddianamesiyle karşı karşıya kaldığını bildirdi.

Moucka, bilgisayar korsanlarının AT&T, Ticketmaster, Neiman Marcus ve Santander dahil 165 şirketten kimlik bilgilerini çaldığı Snowflake Veri ihlalindeki iddia edilen rolü nedeniyle 2024’ün sonlarında tutuklandı. İhlaller, AT & T’nin 100 milyon müşteriden arama ve metin günlükleri ve Ticketmaster’ın ihlali 560 milyon kullanıcıyı etkileyen milyonlarca hassas veriyi ortaya çıkardı.

Mantiant’ın soruşturması, bilgisayar korsanlarının Snowflake’in platformundaki güvenlik açıkları yerine 2020’ye kadar uzanan çalıntı kimlik bilgilerini kullandığını buldu. Mantiant ayrıca saldırıyı, Mayıs 2024’te önceki bir T-Mobile ihlali için gözaltına alınan bir Türk suç ortağı John Erin Binns ile çalışan Kuzey Amerika merkezli bir hacker ile de ilişkilendirdi.

Devlete ait Ukrayna demiryollarına göre, bir siber saldırı Pazartesi günü Ukrayna’da çevrimiçi tren bilet satışlarını bozdu. “Sistematik, karmaşık ve çok seviyeli” olarak tanımlanan saldırı, çevrimiçi rezervasyon sistemini indirdi ve yolcuları fiziksel ofislerde veya yerleşik trenlerden bilet satın almaya zorladı.

Demiryolları, yedek protokoller nedeniyle tren hizmetlerinin etkilenmediğini söyledi. Ukrayna Demiryolları, Ukrayna Güvenlik Servisi ve CERT-UA çevrimiçi hizmetleri geri yüklemek için çalışıyor. Ukrayna’nın Demiryolu ağı, özellikle Rus istilası tarafından azaltılmış hava yolculuğu ile önemli bir ulaşım bağlantısıdır. Bozulma, Ukrayna Demiryolları’nın Rusya’nın DNIPRO’daki enerji altyapısına bazı bölümlere geçici olarak gücü azaltan ancak tren operasyonlarını durdurmayan grevlerini bildirmesinden günler sonra geliyor.

Google Salı günü, Rus medya ve eğitim organizasyonlarını hedefleyen casusluk saldırılarında sömürülen 2025-0273’ü izleyen yüksek şiddetli bir krom sıfır gün güvenlik açığı düzenledi. Kaspersky araştırmacıları, saldırganların Chrome’un sanal alan korumalarını atlamasını ve sofistike kötü amaçlı yazılımları dağıtmasını sağlayan kusurları ortaya çıkardı.

Google, kırılganlığın vahşi doğada kullanıldığını ancak çoğu kullanıcı düzeltmeyi uygulayana kadar ayrıntıları sakladığını kabul etti. Güncelleme Windows kullanıcılarına sunuluyor ve bir tarayıcı yeniden başlattıktan sonra otomatik olarak yüklenecek.

Kaspersky, sıfır gününü Rus kuruluşlarını hedefleyen bir kimlik avı kampanyası olan “ForumTroll Operasyonu” na bağladı. Saldırganlar kurbanları “Primakov Okumaları” forumuna sahte davetiyelerle çekti ve onları kötü niyetli bir alan adına yönlendirdi. Kampanya ayrıca, uzaktan kod yürütülmesini sağlayan ikinci, tanımlanamayan bir istismar da içeriyordu.

Bir kimlik avı kampanyası, arama motoru optimizasyon platformu Semrush’u taklit etmek için kötü amaçlı Google reklamlarını kullanıyor ve SEO profesyonellerini Google hesap kimlik bilgilerini çalmayı hedefliyor ve potansiyel olarak kötü niyetli kampanyaları başlatmak için.

MalwareBebytes’teki araştırmacılar, gibi sahte kayıtlı alanları ortaya çıkardılar. semrush.click Ve semrush-pro,cokullanıcıları Semrush’ın giriş sayfasını taklit eden kimlik avı sitelerine çekiyor. Sayfalar, kullanıcıları sayfaya erişmek için Google kimlik bilgilerini kullanmalarını ister. Semrush Google Analytics ve Arama ile bütünleştiğinden, saldırganlar hesaplardan tam olarak ödün vermeden bile hassas iş verilerine erişebilir.

Draytek tarafından üretilen ISP tarafından sağlanan yönlendiricileri olan kullanıcılar hafta sonu boyunca kayıp bağlantı ve sonsuz önyükleme döngülerinde sıkışmış yönlendiricilerle acı çekti. Kesintiler İngiliz ISP’leri Gamma, Zen Internet, ICUK ve A&A’yı etkiledi. Avustralya’daki bir Reddit kullanıcısı da bir Draytek yönlendiricisiyle aynı sorunu yaşadığını bildirdi.

ISS’ler sorunu ya güvenlik açıklarından yararlanan saldırılara veya bir Buggy Draytek ürün yazılımı güncellemesine kadar izledi. Draytek sorunu kabul etti. Greynoise’deki güvenlik araştırmacıları, Draytek yönlendiricilerindeki bilinen güvenlik açıklarını vurguladılar, ancak kusurlar ve kesintiler arasında doğrudan bir bağlantıyı doğrulayamadıklarını söyledi.

Güney Afrika kümes hayvanları dev astral gıdaları Mart ayı ortasında siber güvenlik olayına maruz kaldı, Pazartesi günü açıkladı ve 1.1 milyon dolarlık kâr zararıyla sonuçlandı. Şirket saldırının doğasını açıklamadı, ancak olayın kümes hayvanları bölümünde işleme ve teslimatları bozduğunu söyledi.

Üretim gecikmeleri ve birikmiş işler kurtarma maliyetleri karı 20 milyon rand azalttı. Şirket, hassas bir müşteri veya tedarikçi verisinin tehlikeye atılmadığını ve operasyonların tamamen yeniden başladığını söyledi. Astral Foods, Güney Afrika’nın en büyük broyler civciv üreticisi ve ikinci en büyük tavuk işlemcisidir.

Araştırmacılar, indirilebilecek kötü amaçlı kod paketleri aracılığıyla yapılan tedarik zinciri saldırıları için bilinen bir hotspot olan JavaScript Çalışma Zamanı Çevre NPM deposunda geliştiricileri hedefleyen bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.

ReversingLabs araştırmacıları, Mart ayında Ethers.js kütüphanesine eklemek için iki paket buldular. Paketler, Ethers-Prrovider2 ve Ether-Prroviderz, “kötü niyetli yükü akıllıca gizlenmiş olan basit indiricilerdir.” Her biri, kötü amaçlı yükü içeren yeni bir dosya ile eter yamalayan ikinci bir aşamaya sahiptir. Her iki paket de artık NPM’de mevcut değil.

İndirildikten sonra, Ether-Prrovider2 çekirdek dosyayı değiştirir provider-jsonrpc.jskötü amaçlı kod içeren değiştirilmiş bir sürümle. Bu enfekte olmuş dosya, saldırganın sunucusuna ters bir kabuk oluşturan üçüncü aşamalı bir yükü alır.

Ters kabuk, meşru SSH2 paketine benzer şekilde işlev gören değiştirilmiş bir SSH istemcisi aracılığıyla çalışır. Enfekte olmuş istemci, saldırganın sunucusundan özel olarak hazırlanmış bir mesaj aldığında, kalıcı bir uzaktan erişim aracına geçer. Bu kalıcılık mekanizması, ilk kötü amaçlı paketin çıkarılmasından sonra bile tehlikeye atılan sistemin savunmasız olmasını sağlar.

İkinci paket olan Ethers-Providerz benzer bir yaklaşımı izler, ancak yük teslimatında tutarsızlıklar sergiler. Araştırmacılar, saldırganların daha sonraki sürümlerde rafine etmelerinin deneysel bir yapı olduğundan şüpheleniyorlar. Her iki paketteki kötü amaçlı komut dosyaları da bir loader.js Ek yükler getiren Node_Modules dizinindeki dosya.

Geçen haftadan diğer hikayeler

Bilgi Güvenliği Medya Grubu’nun Güney İngiltere’deki Akshaya Asokan ve Hindistan’ın Bengaluru kentindeki Prajeet Nair’den raporlar ile.