Olay ve İhlale Müdahale, Güvenlik Operasyonları
Ayrıca: Ivanti Sömürü Devam Ediyor; Apple 2024 Yılının İlk Sıfır Gününü Düzeltti
Anviksha Daha Fazla (AnvikshaDevamı) •
25 Ocak 2024
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta, ABD’li açığa satış yapan kredi kuruluşu EquiLend Holdings saldırıya uğradı, Ivanti istismarı devam etti, Apple 2024’ün ilk sıfır gününü ele aldı, Ukrayna, bilgisayar korsanlarının bir Rus araştırma merkezini vurduğunu söyledi, Kasseika fidye yazılımı gelişti, Kuzey Koreli bilgisayar korsanları aktifti ve Trello bu durumu deneyimledi bir veri sızıntısı.
Ayrıca bakınız: M-Trends 2023 Raporu: En Son Olay Müdahale Metrikleri ve Tehdit İstihbaratı Analitiği
EquiLend Siber Saldırıyla Karşı Karşıya, Sistemler Çevrimdışı
New York City finansal teknoloji şirketi EquiLend Holdings, birçok sistemini çevrimdışına alan bir siber saldırıyı açıkladı. Restorasyon sürecinin birkaç güne yayılması bekleniyor. Şirket Pazartesi günü sistem kesintisini “teknik bir soruna” bağladı ancak daha sonra olayın bir siber saldırı olduğunu doğruladı.
2000 yılında bankalar ve broker-satıcılardan oluşan bir konsorsiyum tarafından kurulan EquiLend, menkul kıymet ödünç verme piyasasında önemli bir oyuncu ve yalnızca Aralık 2023’te yaklaşık 2,44 trilyon dolar değerindeki işlemleri yönetiyor. Bir şirketin, şirket hisselerini başka bir tüccara bir ücret karşılığında ödünç verdiği menkul kıymet ödünç verme, açığa satışın kritik bir parçasıdır. Şirket hisselerinin değerinin artacağı yerine düşeceği yönünde bir bahis var.
Wall Street Journal, bir finans araştırmacısının saldırıyı, tek bir hedefe yönelik siber saldırıların, piyasa operatörlerinin büyük ölçüde tek bir sağlayıcıya bağımlı hale gelmesi durumunda çok büyük etkilere sahip olabileceğine dair kanıt olarak nitelendirdiğini bildirdi.
Ivanti Sömürü Devam Ediyor
Güvenlik şirketi Censys’in araştırmacıları, Ivanti’nin sanal özel ağ cihazlarına yönelik dünya çapında devam eden saldırının, maruz kalan 26.000 cihazdan 492’sine bulaştığını söyledi. En fazla etkilenen VPN sayısı Amerika Birleşik Devletleri’nde kaydedildi ve onu Almanya, Güney Kore, Çin ve Japonya izledi. Virüs bulaşan VPN’lerin çoğunluğunun Microsoft’un müşteri bulut hizmeti tarafından barındırıldığı belirlendi. 400’den fazla ana bilgisayarın kimlik bilgileri hırsızlığı için kullanılan bir arka kapısı vardı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, sivil devlet kurumlarının düzeltici önlem alması için bir talimat yayınladı.
Apple 2024 Yılının İlk Sıfır Gününü Ele Alıyor
Apple, yılın ilk sıfır gün güvenlik açığını detaylandıran ve iPhone’ları, Mac’leri ve Apple TV’leri etkileyen güvenlik güncellemelerini yayınladı. CVE-2024-23222 olarak izlenen ve iOS, macOS, tvOS ve Safari’yi etkileyen sıfır gün, WebKit’te saldırganların uzaktan kod yürütmek için kullanabileceği bir tür karışıklığı sorununu içeriyor. Apple, bilgisayar korsanlarının bu güvenlik açığından yararlandığı konusunda uyardı.
WebKit, Apple’ın varsayılan Safari tarayıcısından farklı bir markaya sahip tarayıcılar ve uygulamalara gömülü tarayıcılar da dahil olmak üzere tüm iOS uygulamalarının web içeriğini görüntülerken kullanmasını gerektirdiği açık kaynaklı web tarayıcı motorudur.
Apple, daha yeni cihazlar için ilk olarak Kasım 2023’te yamalanan diğer iki WebKit sıfır gün (CVE-2023-42916 ve CVE-2023-42917) için eski iPhone ve iPad modellerine yamaları destekledi.
Rus Uzay Araştırma Merkezi Vuruldu
Ukraynalı yetkililer çarşamba günü Kiev’e bağlı gönüllü bilgisayar korsanlarının Rus uzay hidrometeoroloji araştırma merkezi Planeta’nın veri tabanını çökerttiğini söyledi. Ukrayna Ana İstihbarat Müdürlüğü, bir Telegram gönderisinde “BO Ekibi”nden gelen bilgisayar korsanlarının, muhtemelen en az 10 milyon dolar değerindeki yaklaşık 2 petabaytlık veri ve ekipmanı yok ettiğini söyledi.
Ukraynalı düşünce kuruluşu KSE Enstitüsü ve Yermak-McFaul Uluslararası Çalışma Grubu’nun Ocak ayı raporuna göre Rusya, ileri teknolojinin değiştirilmesini zorlaştıran savaş zamanı yaptırımlarıyla karşı karşıya; Moskova’nın Çin gibi aracılardan teknoloji elde etme yeteneği göz önüne alındığında imkansız olmasa da.
Bilgisayar korsanları, askeri operasyonları desteklemek için hayati önem taşıyan meteorolojik ve uydu verilerini sildi.
Ukrayna’nın Yeni Sesi, siber saldırının aynı zamanda Bolşevik Adası’ndaki önemli askeri görevleri yerine getiren bir Rus Arktik istasyonunun da izole edildiğini bildirdi.
Savaş Araştırmaları Enstitüsü’nün Rusya’nın devam eden Ukrayna işgaline ilişkin 31 Aralık’ta yaptığı değerlendirmede, Ukrayna hava savunmasından kaçınan füze insansız hava araçlarının sayısında artış olduğu ve birçok cephede piyade ağırlıklı saldırı operasyonlarında Rusların ağır kayıplar verdiği belirtiliyor. bildirdi.
Kasseika Fidye Yazılımı BYOVD Taktiklerini Kullanıyor
Kasseika adlı yeni bir fidye yazılımı operasyonu, tehdit aktörleri arasında büyüyen bir trend olan, dosyaları şifrelemeden önce antivirüs yazılımını devre dışı bırakmak için “kendi savunmasız sürücünüzü getirin” taktiklerini benimsedi. Kasseika Martini sürücüsünü istismar ediyor Martini.sys/viragt64.sys
Trend Micro, hedeflenen sistemi koruyan antivirüs ürünlerini devre dışı bırakmak için TG Soft’un VirtIT Aracı Sisteminin bir parçası olan .
Trend Micro analistleri Aralık ayında Kasseika’yı ortaya çıkardı ve BlackMatter fidye yazılımıyla çeşitli saldırı zinciri ve kaynak kodu benzerlikleri bulduğunu söyledi. Kasseika saldırısı, kurumsal ağa ilk erişim için hesap kimlik bilgilerini çalmayı amaçlayan, çalışanları hedef alan kimlik avı e-postalarını başlatır. Fidye yazılımı operatörleri, virüslü sistemde ve ağdaki diğer kişiler üzerinde kötü amaçlı toplu dosyaları yürütmek için Windows PsExec hafif telnet değişiminden yararlanır.
Kasseika, BYOVD saldırılarını kullanarak çok sayıda antivirüs ürününün, güvenlik aracının, analiz aracının ve sistem yardımcı programının işlemlerini sonlandırma ayrıcalıklarına sahip olur. Fidye yazılımı, dosyaları şifrelemek için ChaCha20 ve RSA şifreleme algoritmalarını kullanıyor ve BlackMatter’a benzer şekilde dosya adlarına sözde rastgele bir dize ekliyor.
Kuzey Koreli Hackerlar Medyayı ve Akademiyi Hedef Alıyor
Bir SentinelLabs raporu, ScarCruft veya APT37 olarak takip edilen Kuzey Koreli bilgisayar korsanlarının yeni bir casusluk kampanyasına giriştiğini ortaya koyuyor. Grup, Güney Kore’nin akademik sektöründen Kuzey Kore meseleleri uzmanlarını ve Kuzey Kore ile ilgili gazetecileri hedef alıyor.
Saldırıların amacı, Pyongyang’ın kendi sert kabuğunun dışındaki dünya tarafından nasıl algılandığını daha iyi anlamasını sağlamak. Bulaşma zinciri, bilimsel rapor olarak gizlenen kimlik avı e-postaları aracılığıyla gönderilen RokRAT kötü amaçlı yazılımının kullanımını içeriyor. ScarCruft ile ilişkili özel olarak yazılmış bir arka kapı olan RokRAT, hedeflenen varlıkların gözetlenmesine olanak tanır. ScarCruft’un daha önce benzer hedefleme ve takma adlar kullanan Kuzey Koreli hacker grubu Kimsuky ile bağlantısı vardı.
Her iki grubun da takma ad olarak kullandığı “bandi” terimi, aralarındaki şüpheli ilişkileri artırıyor. Kuzey Kore’de bandi, muhalif yazılar yayınladığından şüphelenilen bir yazarın takma adıdır. Korece’de “ateş böceği” anlamına geliyor.
Trello Veri Sızıntısı Özel E-posta Adreslerini Açığa Çıkardı
İlk olarak Bleeping Computer’ın bildirdiğine göre, açığa çıkan bir Trello API’si, Trello hesaplarıyla ilişkili özel e-posta adreslerinin açığa çıkmasına yol açtı ve potansiyel olarak hem genel hem de özel bilgiler içeren milyonlarca veri profili oluşturdu. Atlassian’ın sahibi olduğu çevrimiçi proje yönetimi aracının veri sızıntısı, “emo” takma adını kullanan bir kişinin bir bilgisayar korsanlığı forumunda Trello üyelerinin verilerini satmaya çalışmasıyla ortaya çıktı. Bu profillerdeki bilgilerin çoğu herkese açık olsa da e-posta adresleri halka açık değildi.
Kazıyıcı, e-posta adreslerini genel Trello profilleriyle ilişkilendirmek için açıkta kalan bir API kullandı. Geliştiricilerin hizmeti uygulamalara entegre etmeleri için tasarlanan API, Trello kimliğine veya kullanıcı adına göre genel bilgilerin sorgulanmasına olanak sağladı. Ancak kişi, ilgili genel profil bilgilerini almak için API’nin bir e-posta adresi kullanılarak da sorgulanabileceğini buldu.
Trello sızıntısı eklendi Yenildim mi? Böylece insanlar e-posta adreslerinin maruz kalan 15 milyon kişi arasında olup olmadığını kontrol edebilirler.
Geçen Haftanın Diğer Haberleri
Bilgi Güvenliği Medya Grubu’nun Mumbai, Hindistan’daki Mihir Bagwe’sinden gelen raporla