İhlal Özeti: Çinli Hackerlar ArcGis’i Sömürdü

Çin devletiyle bağlantılı olduğundan şüphelenilen bilgisayar korsanları, ArcGIS haritalama yazılımı sunucusuna sızdı ve bir yıldan fazla bir süre boyunca fark edilmeden kalarak bir Java sunucusu nesne uzantısını bir web kabuğuna silah haline getirdi.

ReliaQuest araştırmacıları, olayı orta derecede bir güvenle, Flax Typhoon olarak takip edilen Çin ulus-devlet tehdit aktörüne bağlıyor (bkz: ABD, Keten Tayfunu Hacklemesi Nedeniyle Pekin Şirketine Yaptırım Yaptı).

Bilgisayar korsanları, geçerli yönetici kimlik bilgilerini kullanarak, dahili bir sunucuya bağlı, halka açık bir ArcGIS sunucusuna erişim sağladı. Web kabuğu işlevi gören kötü amaçlı bir Java SOE yüklediler. Sabit kodlanmış bir gizli anahtarla korunan arka kapı, rutin sunucu faaliyetleriyle harmanlanıyordu.

Daha fazla kalıcılık sağlamak için bilgisayar korsanları SoftEther VPN Bridge’i yükledi ve bunu otomatik bir Windows hizmeti olarak kaydettirdi. VPN, saldırganın altyapısına giden bir tünel oluşturarak, 443 numaralı bağlantı noktası üzerinden yasal görünen trafiği kullanarak gizli yanal harekete, kimlik bilgileri dökümüne ve ağ keşiflerine olanak sağladı.

Saldırganlar Active Directory Güvenlik Hesap Yöneticisi veritabanını boşaltmaya ve hassas kimlik bilgilerini çalmaya çalışırken araştırmacılar, BT personelinin iş istasyonlarını hedef alan uygulamalı klavye etkinliği gözlemledi. Bu, Flax Typhoon’un gizlilik ve arazide yaşama tekniklerine dayanan bilinen yöntemiyle uyumludur.

Tehdit istihbarat firması VulnCheck, saldırganların CVE-2025-2611 olarak takip edilen ICTBroadcast çağrı merkezi yazılımındaki güvenlik açığından yararlanarak yazılımı uzaktan tehlikeye attığını söyledi.

Siber güvenlik firması Rapid7, yazılımın 7.4 ve önceki sürümlerindeki güvenlik açığının, “ICTBroadcast uygulamasının oturum çerezi verilerini güvenli olmayan bir şekilde kabuk işlemeye geçirmesi ve bir saldırganın sunucuda yürütülen bir oturum çerezine kabuk komutları enjekte etmesine olanak sağlaması” nedeniyle ortaya çıktığını söyledi. “Bu, oturum yönetiminde kimliği doğrulanmamış uzaktan kod yürütülmesine neden olur.”

VulnCheck, gözlemlenen vahşi saldırıların “zamana dayalı bir istismar kontrolüyle başladığını, ardından saldırganlara kurbanın ortamına kalıcı erişim sağlamak için ters kabuklar oluşturmaya çalıştığını” söyledi. “İnternete dönük olmaması gereken yazılımın şu anda çevrimiçi olarak birkaç yüz örneği var” dedi.

Güvenlik araştırmacısı Valentin Lobstein, diğer adıyla Chocapikk, Mart ayında satıcıya ve bu durumda olduğu gibi satıcı bir yama yayınlamasa bile 120 gün sonra kusurun ayrıntılarını kamuya açıklayan VulnCheck’e yönelik güvenlik açığını keşfetti ve açıkladı.

5 Ağustos’ta Metasploit, kusura yönelik Lobstein tarafından yazılan yararlanma kodunu yayınladı. Salı günü sosyal platform X’e gönderdiği bir gönderide, Pakistan merkezli ICT Innovations satıcısının güvenlik açığının ayrıntılarını aldığından beri “sessiz kaldığını” ve “yamanın durumunun bilinmediğini” bildirdi.

ICT Innovations, yorum talebine hemen yanıt vermedi.

VulnCheck, kampanyanın Fortinet’in mayıs ayında detaylandırdığı ve saldırganların meşru e-posta gönderme hizmetini kötüye kullandığı kampanyaya benzer taktik, teknik ve prosedürler kullandığını söyledi. serviciodecorreo.es Uzaktan erişim truva atını dağıtmak için tasarlanmış kimlik avı saldırılarında.

Microsoft, Ekim ayı yama dökümünün bir parçası olarak altı sıfır gün kusuru da dahil olmak üzere 172 güvenlik açığını gideren güvenlik güncelleştirmeleri yayımladı. Bu, işletim sistemi desteğinin sonuna ulaştığında Windows 10 için son ücretsiz güvenlik güncellemesidir.

Toplam kusurlardan sekizi kritik; beşi uzaktan kod yürütmeyi ve üçü ayrıcalık yükseltme güvenlik açığını içeriyor. Güncelleme, diğerlerinin yanı sıra 80 ayrıcalık yükseltmesini, 31 uzaktan kod yürütmeyi ve 28 bilgi ifşa kusurunu kapsıyor.

Altı sıfır günden üçü aktif olarak kullanıldı. Bunlar arasında Agere Modem sürücüsünde (CVE-2025-24990), Uzaktan Erişim Bağlantı Yöneticisinde (CVE-2025-59230) ayrıcalık yükselmesi güvenlik açıkları ve IGEL OS’de (CVE-2025-47827) Güvenli Önyükleme bypass’ı yer alıyor.

Kamuya açıklanan üç kusur, AMD SEV-SNP RMP bozulması (CVE-2025-0033), başka bir Agere Modem sürücüsü hatası CVE-2025-24052 ve bir TPM 2.0 güvenlik açığı CVE-2025-2884 ile bağlantılıdır.

Microsoft, işletmeler için Windows 10 desteğinin Genişletilmiş Güvenlik Güncelleştirmeleri aracılığıyla üç yıla kadar devam edebileceğini söyledi.

ABD’li bir federal yargıç, Massachusetts’li bir üniversite öğrencisini, aralarında eğitim yazılımı sağlayıcısı PowerSchool’un da bulunduğu iki şirketi hacklemek ve gasp etmekten dört yıl hapis cezasına çarptırdı.

Matthew D. Lane, mayıs ayında bir telekomünikasyon firmasının ve bir eğitim teknolojisi şirketinin ağlarını ihlal etmekten suçunu kabul etti ve veri sızıntılarını önlemek için yaklaşık 3 milyon dolarlık bitcoin talep etti.

Mahkeme belgeleri, Lane ve suç ortaklarının, 2022’de çalınan verileri kullanarak Nisan ve Mayıs 2024 arasında telekom şirketinden zorla 200.000 dolar aldığını gösteriyor. Lane daha sonra Eylül ve Aralık 2024’te ikinci şirketin ağına erişerek isimleri, adresleri, Sosyal Güvenlik numaralarını, tıbbi kayıtları ve diğer hassas bilgileri çaldı. Bilgisayar korsanları, 2,85 milyon dolar almadıkları takdirde verileri sızdırmakla tehdit etti.

Olay, tahminen 70 milyon insanı etkileyen PowerSchool ihlalinin ayrıntılarıyla eşleşiyor. PowerSchool, sızıntıyı önlemek için Mayıs ayında fidye ödediğini doğrulasa da, saldırganlar ABD ve Kanada’daki okul bölgelerinde gasp etmeye devam etti.

Sekiz büyük araba sigortası şirketi, veri ihlallerinin 825.000’den fazla kişinin kişisel bilgilerinin açığa çıkmasının ardından New York’a 14,2 milyon dolar para cezası ödeyecek. Bilgisayar korsanları, salgın sırasında hileli işsizlik başvurularında bulunmak için çalınan ayrıntıları kullanarak ehliyet numaraları, şasi numaraları ve doğum tarihleri ​​gibi hassas verileri otomatik olarak dolduran “önceden doldurma” fiyat teklifi araçlarından yararlandı.

Cezaya çarptırılan şirketler arasında American Family Mutual Insurance, Farmers Insurance, Hagerty Insurance Agency, Hartford Insurance Group, Infinity Insurance, Liberty Mutual, Metromile ve State Auto Mutual Insurance yer alıyor.

New York Başsavcısı Letitia James, şirketlerin zayıf siber güvenliğinin bilgisayar korsanlarının kişisel verilere kolayca erişmesini sağladığını söyledi. Müfettişler, şüpheli etkinlikleri tespit etmek için çok faktörlü kimlik doğrulama ve izleme araçlarına sahip olmadıklarını tespit etti.

En büyük cezayı 2,8 milyon dolar ile Amerikan Ailesi ödeyecek. Liberty Mutual, State Auto, Metromile ve Infinity’nin her biri 2’şer milyon dolar ödeyecek, Farmers ve Hagerty ise 1,3 milyon dolar ödeyecek.

Bulut güvenlik firması Wiz, 100’den fazla Visual Studio Code uzantısının açığa çıkan kişisel erişim belirteçlerini ortaya çıkararak yazılım tedarik zinciri riski oluşturdu. Sızan tokenlar, saldırganların kötü amaçlı güncellemeleri 150.000 numaralı kurulum tabanına göndermesine olanak tanımış olabilir.

Wiz, OpenAI, Gemini, Anthropic, AWS, Google Cloud, GitHub ve MongoDB, PostgreSQL ve Supabase için veritabanı erişim anahtarları dahil olmak üzere yüzlerce yayıncının 500’den fazla uzantısında 550 sır tespit etti.

Geçen Haftadan Diğer Hikayeler

Bilgi Güvenliği Medya Grubu’ndan New Jersey’deki Gregory Sirico ve İskoçya’dan Mathew Schwartz’ın raporlarıyla.