Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
HHS: Kuzey Kore Sponsorlu Grup, Zoho ManageEngine’deki Kritik Kusurdan Yararlanıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
20 Eylül 2023
Federal yetkililer, Kuzey Kore devleti sponsorluğundaki Lazarus Grubu’nun sağlık ve kamu sağlık sektörü kuruluşlarına yönelik, Zoho’nun 24 ManageEngine BT yönetim aracındaki kritik bir güvenlik açığından yararlanılmasını içeren potansiyel saldırıları konusunda “önemli risk” konusunda uyarıda bulunuyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
ABD Sağlık ve İnsani Hizmetler Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi tarafından Salı günü yayınlanan uyarıda, siber suçlu grubunun CVE- olarak takip edilen bir güvenlik açığından yararlanarak Avrupa ve ABD’deki “internet omurgası altyapısını ve sağlık kuruluşlarını” hedef aldığı konusunda uyarıda bulunuldu. 2022-47966.
HHS HC3, SAML çoklu oturum açmanın ManageEngine kurulumunda etkinleştirilmesi veya etkinleştirilmesi durumunda güvenlik açığından yararlanılabileceğini söyledi.
HHS HC3, saldırganların uzaktan erişim Truva atı QuietRAT’ı dağıtmak için bu güvenlik açığından yararlandığını söyledi. “Güvenlik araştırmacıları bu kötü amaçlı yazılımı daha önce Şubat 2023’te tanımlamıştı ve bildirildiğine göre bu, grubun daha önce kullandığı ve aynı yeteneklerin çoğunu içeren kötü amaçlı yazılım ‘MagicRAT’ın devamı niteliğinde.”
HHS HC3, analizin ayrıca Lazarus Group’un, saldırganın diğer yeteneklerin yanı sıra keyfi komutlar çalıştırmasına izin vererek çoğu RAT gibi çalışan CollectionRAT adlı yeni bir kötü amaçlı yazılım aracı kullandığını da gösterdiği konusunda uyardı.
HHS HC3, CollectionRAT’ın daha önce bir Lazarus alt grubuyla bağlantılı olan Jupiter/EarlyRAT kötü amaçlı yazılım ailesiyle bağlantılı olduğuna inanıldığını söyledi Andariel. “CollectionRAT ayrıca meta verileri toplamak, virüslü sistemdeki dosyaları yönetmek ve ek veriler sağlamak için de kullanılıyor.”
CISA, CVE-22022-47966 kusurunu Ocak ayında bilinen istismar edilen güvenlik açıkları listesine ekledi. Zoho ManageEngine, üçüncü taraf bir modülü en son sürüme güncelleyerek sorunu çözdüğünü söyledi. HHS HC3, sağlık ve kamu sağlığı sektörü kuruluşlarına etkilenen yazılımı en son sürüme güncellemelerini şiddetle tavsiye ettiğini söyledi.
Önceki Uyarılar
HHS HC3 uyarısı, 9 Eylül’de CISA ve FBI tarafından ortaklaşa yayınlanan ve ulus devlet destekli aktörlerin ManageEngine’de CVE-2022-47966’yı ve ilgisiz bir güvenlik açığı olan CVE-2022-42475’i istismar ettiği konusunda uyarıda bulunan benzer bir bültenin ardından geldi. Fortinet FortiOS SSL VPN’de (bkz: Fed’den Zoho ve Fortinet Ürünlerine Derhal Yama Uygulanması Çağrısı).
Cisco Talos’taki güvenlik araştırmacıları Ağustos ayındaki bir blog yazısında, ManageEngine CVE-22022-47966 güvenlik açığını içeren gelişen Lazarus Group tehditleri hakkında bilgi verdi.
Cisco Talos, “Lazarus Grubu, saldırılarının ilk erişim aşamasında açık kaynaklı araçlara ve çerçevelere giderek daha fazla güvenerek, bunları uzlaşma sonrası aşamada katı bir şekilde kullanmak yerine, taktiklerini değiştiriyor gibi görünüyor” diye yazdı.
Rapid7 güvenlik firmasının güvenlik açığı araştırması başkanı Caitlin Condon, Information Security Media Group’a çeşitli ManageEngine güvenlik açıklarının son birkaç yılda çeşitli tehdit aktörleri tarafından istismar edildiğini söyledi.
“HHS uyarısı belirli bir tehditle ilgili olsa da, çeşitli saldırganların bilinen ManageEngine CVE’lerini hedeflediğine dair kanıt olduğunda kuruluşlara tek bir düşmana aşırı odaklanmamalarını şiddetle tavsiye ederiz” dedi.
Condon’a göre, büyük resimde sağlık ve kamu sağlığı sektörü kuruluşları başka ciddi tehdit aktörleriyle de karşı karşıya. “2023’ün ilk yarısında HPH sektörünü hedef aldığını gördüğümüz finansal motivasyona sahip başlıca gruplar Rhysida ve Stop/Cuba gibi fidye yazılımı gruplarıydı” dedi.
Rhysida fidye yazılımı grubu, ağustos ayında sağlık ve halk sağlığı sektörüne gönderilen bir HHS HC3 uyarısına konu oldu.
Condon, ISMG’ye şöyle konuştu: “Tehdit analitiği ekibimiz devlet destekli saldırıları daha genel olarak takip etse de, yakın zamanda gerçekleşen herhangi bir saldırıyı özel olarak Lazarus Grubu’na atfetmedik.” “ManageEngine uygulamaları gibi halka açık uygulamalardan yararlanmak, 2023’ün ilk yarısında devlet destekli saldırılarda gördüğümüz en iyi teknikti.”
Kendisi, CVE-2022-47966’nın geçmişte madeni para madencilerini, web kabuklarını ve fidye yazılımlarını hedef ortamlara dağıtmak için kullanıldığını söyledi.
Condon, “Bunu yaygın bir tehdit olarak görüyoruz ve kuruluşlara henüz yapmamışlarsa acil durumda yama yapmalarını tavsiye ediyoruz” dedi. “CVE-2022-47966’nın yılın büyük bir bölümünde bilinen bir risk olduğu ve saldırganların daha geniş kapsamlı operasyonlar için ilk erişim vektörü olarak bu güvenlik açığından zaten yararlanmış olabileceği göz önüne alındığında, yama yapılmamış kurulumlardan kaynaklanan önemli bir risk var.”