Bu ay, Google Chrome içindeki kötü niyetli kişiler tarafından uzun süredir istismar edilen, ancak şimdi şirket tarafından yamalanan bir sıfır gün güvenlik açığı ortaya çıktı. Bu kusur, bir İsrail casus şirketi tarafından silah haline getirildi ve Ortadoğulu gazetecilere ve ailelerine yönelik saldırılarda kullanıldı.
Sömürüye yanıt olarak, siber güvenlik firması Avast olayı Candiru’ya (Saito Tech olarak da bilinir) bağladı. DevilsTongue adlı bir Windows kötü amaçlı yazılımı, daha önce bilinmeyen kusurlardan yararlanarak bu grup tarafından şimdiye kadar birkaç kez dağıtıldı.
Esasen, Google Chrome’da tanımlanan CVE-2022-2294 ataması ile sıfır gün güvenlik açığıdır. Görünen o ki, kabuk kodunun amaçlanmayan bir şekilde yürütülmesi için Chrome’un oluşturucu işleminde yararlanılan WebRTC’deki bellek bozulmasıdır.
Keşif ve Hedefler
Temmuz 2021’de Microsoft ve CitizenLab tarafından kötü amaçlı yazılımın keşfedilmesini takip eden aylarda Candiru, birkaç ay boyunca düşük profilli kaldı.
Mevcut algılama sistemi tarafından algılanmayı önlemek için kötü amaçlı yazılımını güncellemesi muhtemelen zaman aldı, bu yüzden bu kadar uzun sürdü.
Bu sefer, Mart 2022’de aşağıdaki ülkelerde bulunan kullanıcıları hedefleyen güncellenmiş bir araç seti ile geri dönüyor:-
- Lübnan
- Türkiye
- Yemen
- Filistin
Saldırganlar, kullanıcılara yönelik karalama saldırıları başlatmak için Google Chrome’daki sıfır gün güvenlik açıklarından yararlanıyor. Saldırıların yüksek oranda hedeflendiği düşünülüyordu, ancak bunun doğru olup olmadığı henüz belli değil.
Lübnan’daki saldırganların, haber ajansı çalışanlarının görevlerini yerine getirmek için kullandıkları bir web sitesini ele geçirdiği görülüyor.
Güvenliği ihlal edilen web sitesinde, aşağıdaki bilgileri içeren sayfalar gibi kalıcı, XSS saldırılarının bir eseri bulundu:-
Javascript işlevi uyarısına bir çağrıyla birlikte ‘test’ anahtar kelimesiyle bir uyarı işlevi çağrıldı.
Toplanan veri
Bu noktada Candiru, istismar sunucusuna ulaşır ulaşmaz kurban hakkında daha fazla bilgi toplar. Saldırganlar, kurbanın tarayıcısı hakkında yaklaşık 50 veri noktası toplar ve bu bilgileri kurbanın bilgisayarının bir profili şeklinde onlara gönderir.
Mağdur hakkında aşağıdakiler de dahil olmak üzere bir dizi bilgi toplanmıştır: –
- Dil
- Saat dilimi
- Ekran bilgileri
- Cihaz tipi
- Tarayıcı eklentileri
- yönlendiren
- Cihaz hafızası
- Çerez işlevi
Bunun bir sonucu olarak, istismarın daha fazla korunması ve yalnızca hedeflenen kurbanların bunu alması sağlanır. İstismar sunucusu, istismarda toplanan veriler gereksinimlerini karşılıyorsa, kurbana RSA-2048 aracılığıyla bir şifreleme anahtarı gönderir.
AES-256-CBC algoritması ile birlikte bu şifreleme anahtarını kullanarak, kurbana sıfır gün açıklarından faydalanmak mümkündür. İstismarı teslim edebilmek için, anonim olarak teslim edilebilmesi için önce şifreli bir yol oluşturulmalıdır.
Ek olarak, son yıllarda, 2021’in başından beri devlet destekli bilgisayar korsanlığı gruplarının, gazetecileri kötü amaçlı yazılım yaymaları ve casusluk yapmaları için aktif olarak hedeflediği bildirildi.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.