ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA) Cuma günü Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna, vahşi ortamda aktif suistimal kanıtlarına atıfta bulunarak üç kusur ekledi.
Üçü arasında, TerraMaster ağa bağlı depolama (TNAS) cihazlarını etkileyen ve en yüksek ayrıcalıklarla kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilecek bir hata olan CVE-2022-24990 da yer alıyor.
Kusurla ilgili ayrıntılar, Mart 2022’de Etiyopyalı siber güvenlik araştırma şirketi Octagon Networks tarafından açıklandı.
ABD ve Güney Kore hükümet yetkilileri tarafından yayınlanan ortak bir danışma belgesine göre, güvenlik açığının Kuzey Koreli ulus devlet bilgisayar korsanları tarafından fidye yazılımı ile sağlık ve kritik altyapı kuruluşlarına saldırmak için silah haline getirildiği söyleniyor.
KEV kataloğuna eklenecek ikinci eksiklik, Windows için Intel ethernet tanılama sürücüsünde (IQVW32.sys ve IQVW64.sys) belirtilmemiş bir kusur olan CVE-2015-2291’dir ve etkilenen bir aygıtı hizmet reddi durumuna sokabilir. .
CVE-2015-2291’in vahşi ortamda istismarı geçen ay CrowdStrike tarafından ortaya çıkarıldı ve savunmasız sürücünün yasal olarak imzalanmış ancak kötü niyetli bir sürümünü yerleştirme girişimini gerektiren bir Scattered Spider (namı diğer Roasted 0ktapus veya UNC3944) saldırısını ayrıntılarıyla açıkladı. Kendi Savunmasız Sürücünüzü (BYOVD) Getirin.
Siber güvenlik firması, amacın, güvenliği ihlal edilmiş ana bilgisayarda yüklü uç nokta güvenlik yazılımını atlamak olduğunu söyledi. Saldırı sonuçta başarısız oldu.
Geliştirme, BlackByte, Earth Longzhi, Lazarus Group ve OldGremlin gibi birden fazla tehdit aktörü tarafından izinsiz girişlerini yükseltilmiş ayrıcalıklarla güçlendirmek için tekniğin giderek daha fazla benimsendiğinin altını çiziyor.
Son olarak CISA, Fortra’nın GoAnywhere MFT tarafından yönetilen dosya aktarım uygulamasında (CVE-2023-0669) keşfedilen bir uzaktan kod enjeksiyonunu KEV kataloğuna ekledi. Kusur için yamalar yakın zamanda yayınlanmış olsa da, istismar bir fidye yazılımı operasyonuna bağlı bir siber suç grubuyla ilişkilendirildi.
Huntress, bu hafta başlarında yayınlanan bir analizde, Silence olarak bilinen bir tehdit aktörüne atfedilen ve taktik çakışmalar sergileyen bir Rus siber suç ekibi olan Evil Corp ile bağlantıları paylaşan bir Windows kötü amaçlı yazılımı olan TrueBot’un konuşlandırılmasına yol açan enfeksiyon zincirini gözlemlediğini söyledi. TA505 ile.
TA505’in geçmişte Clop fidye yazılımının dağıtımını kolaylaştırmasıyla, saldırıların hedeflenen sistemlerde dosya kilitleme kötü amaçlı yazılım dağıtmanın öncüsü olduğundan şüpheleniliyor.
Ayrıca, güvenlik blogu Bleeping Computer, Clop fidye yazılımı ekibinin yayına ulaştığını ve 130’dan fazla şirketten güvenliği ihlal edilmiş sunucularda depolanan verileri çalmak için açıktan yararlandığını iddia etti.
Federal Sivil Yürütme Şubesi (FCEB) kurumlarının, ağları aktif tehditlere karşı güvenceye almak için 3 Mart 2023’e kadar düzeltmeleri uygulaması gerekmektedir.