Mandiant ve VMware yakın zamanda karmaşık bir siber casusluk kampanyasını ortaya çıkardı. UNC3886 olarak tanımlanan Çinli bir grup olan saldırganlar, hedeflenen sistemlere erişimi bir yıldan fazla sürdürmek için VMware yazılımındaki (CVE-2023-34048) bilinen bir güvenlik açığından yararlandı.
Bu vaka, kalıcı ve gelişen siber tehditlere karşı uyanık kalmanın önemini vurgulamaktadır.
Mandiant’ın araştırması, UNC3886’nın antivirüs yazılımının ulaşamayacağı hassas teknoloji alanlarını hedeflemek için gelişmiş teknikler kullandığını ortaya çıkardı.
Bu keşif, geleneksel antivirüs önlemlerinin ötesine geçen çok katmanlı bir güvenlik yaklaşımına olan ihtiyacın altını çiziyor.
Mandiant, arka kapıları vCenter sistemlerine dağıtmak için kullanılan teknikleri belirlemeye özel olarak odaklanarak araştırmasına devam etti.
Kötü amaçlı yazılımların, kaynaklarından hedef cihazın web tarayıcısına aktarılan kötü amaçlı dosyaları yakalayarak teslimat aşamasında ağınıza bulaşmasını önleyin.
Ücretsiz Demo İste
Mandiant tarafından yapılan analize göre, VMware’in “vmdird” sürecinin çökmesinin, CVE-2023-34048 adlı belirli bir güvenlik açığından yararlanılmasıyla önemli ölçüde bağlantılı olduğu tespit edildi.
Mandiant, yamalanmış olmasına rağmen 2021’in sonları ile 2022’nin başları arasındaki UNC3886 saldırılarında bu çökmelerin kanıtlarını buldu.
Raporda, “Bu çökmelerin gözlemlendiği çoğu ortamda günlük girişleri korunmuştu ancak “vmdird” çekirdek dökümleri kaldırıldı” deniyor.
Bu, saldırganların güvenlik açığı düzeltilene kadar bir buçuk yıldan fazla bir süre boyunca erişime sahip olduğu anlamına geliyor.
Ekim 2023’te giderilen bu güvenlik açığı, saldırganların kimlik doğrulaması olmadan komutları uzaktan yürütmesine olanak tanıdı.
Mandiant, bu riski azaltmak için tüm VMware kullanıcılarının vCenter’ın en son sürümüne güncelleme yapmalarını önemle önerir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.