Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Yama Yönetimi
Buhti ve IceFire Fidye Grupları, Savunmasız Sunucuları Hedefleyen Saldırılara Bağlı
Mathew J. Schwartz (euroinfosec) •
30 Mart 2023
Fidye yazılımı kullanan saldırganlar açıklardan yararlanma girişimleri başlatmaya devam ettikçe, yama uygulanmamış IBM yapımı kurumsal dosya aktarım yazılımı kullanıcılarının maruz kaldığı risk hakkında yeni uyarılar geliyor.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
IBM Aspera Faspex dosya alışverişi uygulaması, büyük dosyaların güvenliğini sağlama ve hızlı bir şekilde taşıma özelliğiyle tanınan, yaygın olarak benimsenen bir kurumsal dosya alışverişi uygulamasıdır.
Güvenlik uzmanları, 8 Aralık 2022’de IBM tarafından yazılımda yamalanan ve kimlik doğrulamadan kaçınmak ve koddan uzaktan yararlanmak için kullanılabilen bir kusurun, kripto-kilitleme kötü amaçlı yazılımı kullanan çok sayıda saldırgan grubu da dahil olmak üzere aktif olarak kötüye kullanıldığı konusunda uyarıyorlar.
Kusur Aralık ayında yamalanmış olsa da, IBM, bu güncellemede düzeltilen pek çok güvenlik açığından biri olan güvenlik açığını hemen ayrıntılı olarak açıklamamış gibi görünüyordu. 26 Ocak’ta bir güvenlik uyarısında IBM, CVE-2022-47986 olarak adlandırılan ve 9,8’lik bir temel CVSS puanı verilen kusurun “uzaktaki bir saldırganın, özel olarak hazırlanmış eski bir API göndererek … sistemde rasgele kod yürütmesine izin verebileceğini söyledi. Arama.”
Kötü amaçlı etkinlik izleme grubu Shadowserver, 13 Şubat’ta uyardı Aspera Faspex’in güvenlik açığı bulunan sürümlerinde CVE-2022-47986’dan yararlanmaya yönelik aktif, vahşi girişimler görüyordu.
Yazılım geliştiricisi Raphael Mendonça bildirildi 16 Şubat’ta BuhtiRansom adlı bir grubun “çok sayıda savunmasız sunucuyu CVE-2022-47986 ile şifrelediğini” bildirdi.
Buhti, Palo Alto’nun Unit 42 tehdit istihbarat grubunun Go dilinde yazılmış kripto-kilitleme kötü amaçlı yazılımı kullandığını gördüğü görece yeni bir fidye yazılımı grubudur. Linux sistemlerine bulaşır. Bitdefender, grubun Windows için Portable Executable formatında yazılmış kripto-kilitleme kötü amaçlı yazılımı kullandığını da gördü.
Şubat ayında grup, kurbanlarını “SatoshiDisk” aracılığıyla fidyelerini ödemeye yönlendiriyordu.[.]com, şu anda Cloudflare IP’de barındırılan bir bitcoin ödeme destek sitesi” bildirildi kötü amaçlı yazılım araştırmacısı Brad Duncan, Unit 42 tehdit istihbarat analisti.
Dosya aktarım yazılımını veya cihazlarını hedeflemek, fidye yazılımı grupları için yeni bir taktik değildir. Özellikle Clop grubu, son aylarda Fortra’nın yaygın olarak kullanılan yönetilen dosya aktarım yazılımı GoAnywhere MFT kullanıcılarına karşı büyük ölçekli bir saldırı kampanyasının sorumluluğunu üstlendi. Sıfırıncı gün güvenlik açığından yararlanarak – ve daha yakın zamanda, kusuru henüz düzeltmemiş kurbanlar – grup 130’dan fazla kurban talep etmiş görünüyor.
Güvenlik firması Rapid7 bu hafta Aspera Faspex kullanıcılarının yazılımlarını yamalı bir sürüme yükseltmedikleri takdirde hemen çevrimdışına almalarını önerdi. Rapid7’nin güvenlik açığı araştırmalarından sorumlu üst düzey yöneticisi Caitlin Condon, “Aktif istismar ve Aspera Faspex’in genellikle ağ çevresine kurulu olduğu gerçeği ışığında, tipik bir yama döngüsünün oluşmasını beklemeden acil durumlarda yama uygulamanızı şiddetle tavsiye ediyoruz,” dedi. bir güvenlik uyarısında söyledi.
Kusur, yama düzeyi 1 ve önceki sürümleri çalıştıran IBM Aspera Faspex sürüm 4.4.2’de bulunan Ruby on Rails kodundaki bir seri kaldırma güvenlik açığıdır. IBM, API çağrısını kaldırarak güvenlik açığını giderdi. Kullanıcılar ayrıca güvenlik açığı olmayan Faspex 5.x’e yükseltebilirler.
IceFire Hedef Dosya Aktarım Yazılımı
Buhti, IBM’in dosya aktarım yazılımına yönelik saldırılarla bağlantılı tek fidye yazılımı grubu değil. SentinelOne’ın tehdit istihbarat bölümü SentinelLabs, 9 Mart’ta CVE-2022-47986’nın bir fidye yazılımı grubu olan IceFire tarafından istismar edildiğini gördüğünü bildirdi. ilk tespit edilen Mart 2022’de.
Grup daha önce Windows sistemlerine saldırmaya odaklandı, çifte gasp taktikleri ve büyük avlanma eğilimi ile desteklendi, yani daha büyük fidyeler ödeme potansiyeline sahip büyük kurbanlar arıyor. “Önceki raporlar, IceFire’ın teknoloji şirketlerini hedef aldığını gösteriyor; SentinelLabs, medya ve eğlence sektöründeki kuruluşlara yönelik bu son saldırıları gözlemledi.” “IceFire, genellikle organize fidye yazılımı aktörlerinin odak noktası olmayan Türkiye, İran, Pakistan ve Birleşik Arap Emirlikleri’ndeki kurbanları etkiledi.”
SentinelOne, yeni kampanyada grubun ilk kez Aspera güvenlik açığı aracılığıyla Linux sistemlerini vurmaya başladığını söyledi. Fidye yazılımı grupları 2021’de ciddi bir şekilde Linux için istismarlar geliştirmeye başlarken, araştırmacılar eğilimin 2022’ye kadar gerçekten yükselmediğini söylüyorlar, “ünlü gruplar BlackBasta, Hive, Qilin, Vice Society gibileri de dahil olmak üzere cephaneliklerine Linux şifreleyicileri eklediğinde. – namı diğer HelloKitty – ve diğerleri.”
Araştırmacılar, Linux’a karşı “ölçekli” bir fidye yazılımı saldırısı başlatmanın Windows’tan daha zor olduğunu, çünkü Linux’un sunucularda çalışma eğiliminde olduğunu, yani “oltalama veya arabayla indirme gibi tipik enfeksiyon vektörlerinin daha az etkili olduğunu” söyledi.
Yararlanılabilir güvenlik açıkları, saldırganların bu tür kısıtlamaları atlatmasına yardımcı olur. SentinelLabs, “IceFire operatörünün bir IBM Aspera güvenlik açığı aracılığıyla yükleri konuşlandırarak gösterdiği gibi, aktörler uygulama güvenlik açıklarından yararlanmaya yöneliyor.” Elbette aynı şey Buhti ransomware grubu için de söylenebilir.
CVE-2022-47986’yı keşfetme kredisi, sürekli güvenlik platformu Assetnote’ta güvenlik araştırmacıları Maxwell Garrett ve Shubham Shah’a aittir. Kusuru 6 Ekim 2022’de IBM’e bildirdiler ve 2 Şubat’ta kavram kanıtı istismar koduyla birlikte genel ayrıntıları yayınladılar.