Flax Typhoon, Tayvan’daki kuruluşlara yetkisiz erişim sağlamak için meşru yazılımlar kullandığı gözlemlenen bir siber tehdit aktörüdür.
Bu grup, sistemlere sızmak ve hassas bilgileri çıkarmak için daha önce “Storm-0558” olarak bilinen başka bir aktörle ilişkilendirilenler de dahil olmak üzere karmaşık teknikler kullanıyor.
VulnCheck siber güvenlik araştırmacıları, Flax Typhoon’un botnetinin çeşitli cihazlardaki 66 güvenlik açığını aktif olarak kullandığını keşfetti.
Flax Typhoon’un Botnet’i 66 Güvenlik Açığını Kullanıyor
Beş Göz istihbarat teşkilatı (FBI, ABD Siber Komutanlığı, NSA ve Avustralya, Yeni Zelanda, Kanada ve İngiltere’den mevkidaşları), Flax Typhoon adlı Çin bağlantılı bir botnet hakkında Ortak Siber Güvenlik Duyurusu yayınladı.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz Katıl
Bu botnet, yönlendiricilerde, IoT cihazlarında ve web tabanlı uygulamalarda bulunan 66 belirli güvenlik açığını (CVE) istismar ediyor.
Aşağıda, Flax Typhoon botnetinin hedef aldığı tüm teknolojileri, güvenlik açıklarının sayısıyla birlikte belirttik:
- Apache (10 CVE)
- Cisco (5 CVE)
- Zyxel (3 CVE)
- QNAP (3 CVE)
- Fortinet (3 CVE)
- Draytek (3 CVE)
- WordPress (2 CVE)
- Telesquare (2 CVE)
- Ivanti (2 CVE)
- IBM (2 CVE)
- F5 (2 CVE)
- Contec (2 CVE)
- Chamilo (2 CVE)
Tehlikeye atılan cihazların %47,9’una ev sahipliği yapan ABD, birincil hedef konumunda. Bunu %8 ile Vietnam ve %7,2 ile Almanya takip ediyor.
Botnet’in erişim alanı Kuzey Amerika, Avrupa ve Asya’ya kadar uzanıyor. 66 güvenlik açığı arasında, VulnCheck KEV veritabanı başlangıçta ’41’i içeriyordu, CISA’nın KEV kataloğu ise ’27’yi listeliyordu.
Ancak VulnCheck daha sonra tüm 66 CVE’yi kapsayacak şekilde güncellendi.
Duyuru öncesinde, bu güvenlik açıklarının “%71,2″sinin istismar edildiği veya silahlandırıldığı biliniyordu, “%16,7″sinin kavram kanıtı istismar kodu mevcuttu ve “%12,1″inin kamuya açık istismar kanıtı yoktu.
Bu botnet operasyonu, etkilenen cihazlara gösterilen yüksek ilgi göz önüne alındığında, özellikle “ABD”de kritik altyapıları tehdit etme potansiyeline sahip.
Bunun yanı sıra, uyarıda etkilenen cihazlardaki kritik tehlike göstergeleri ve coğrafi veriler sağlanarak, bu tehdide karşı farkındalığın artırılması ve siber güvenlik savunmalarının iyileştirilmesi hedefleniyor.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- Kullanılmayan servisleri ve portları devre dışı bırakın
- Ağ segmentasyonunu uygulayın
- Yüksek ağ trafiği hacmini izleyin
- Yamaları ve güncellemeleri uygulayın
- Varsayılan parolaları güçlü parolalarla değiştirin
- Ömrünü tamamlamış ekipmanları değiştirin.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial