İhlal Özeti: DNS’te Bekleyen Hedefler

InfoBlox ve Eclypsium’dan güvenlik araştırmacıları, Alan Adı Sistemi’ndeki bilinen bir açığın bilgisayar korsanları tarafından tekrar kullanıldığı konusunda uyarıyor.

Eclypsium, “Oturan Ördekler” olarak adlandırılan yöntemin, bir bilgisayar korsanının, belirli bir hesap için alan adı sahipliğinin zayıf veya hiç olmayan bir doğrulaması yoluyla yetkili bir DNS hizmeti veya web barındırma sağlayıcısındaki bir alan adını ele geçirmesini içerdiğini söyledi.

Bilgisayar korsanları, DNS hizmetlerini kayıt kuruluşundan farklı bir sağlayıcıya devretmek de dahil olmak üzere çeşitli yollarla alan adlarını ele geçirebilir. Ad sunucusu delegasyonu, yetkili ad sunucusundan farklı bir DNS sağlayıcısı kullanmak üzere yapılandırılmış bir alan adı ve artık doğru ad hizmetine işaret etmeyen eski bir ad sunucusu delegasyonu gibi yanlış kayıtlarla sonuçlanabilir. Devredilen ad sunucusu, basitçe sahiplik iddia edebilecek bilgisayar korsanları tarafından istismar edilebilir. Eclypsium, “Bu durumlar alışılmadık görünse de çok yaygındır,” dedi.

InfoBlox, “Sleep Ducks saldırıları gerçekleştiren bir düzineden fazla görünüşte farklı tehdit aktörü” keşfettiğini ve her birinin Rusya ile bir bağlantısı olduğunu söyledi. “Sık sık korsanlar çalınan alan adlarını Stark Industries ve Evil Empire gibi kötü şöhretli Rus sağlayıcılarında barındırıyor,” diye ekledi.

Eclypsium, 1 milyondan fazla alan adının Oturan Ördekler tarafından istismar edilebilir olduğunu ve bilgisayar korsanlarının bunları 2019’dan bu yana 30.000’den fazla kez istismar ettiğini tahmin ediyor.

Oturan Ördek saldırısı ilk olarak 2016 yılında araştırmacı Matthew Bryant’ın bir blog yazısında tanımlandı.

Delta Air Lines CEO’su Ed Bastian, CNBC’nin bildirdiğine göre, siber güvenlik firması CrowdStrike’ın 29 Temmuz’daki hatalı bir yazılım güncellemesinin tetiklediği operasyonel çöküşün havayoluna 500 milyon dolara mal olduğunu söyledi. Kesinti, Amerika Birleşik Devletleri’nin ikinci büyük yolcu taşıyıcısında birkaç gün boyunca binlerce uçuşun iptal edilmesine ve gecikmelere yol açtı.

Bastian, 500 milyon dolarlık rakamın kaybedilen geliri ve etkilenen yolcuların tazmin edilmesi ve otel konaklaması sağlanmasıyla ilgili maliyetleri içerdiğini belirtti. CEO, tazminat davası açacağını söyledi.

Delta, davayı takip etmesi için tanınmış hukuk firması Boies Schiller Flexner’ı işe aldı. Havayolu, kesintiden etkilenen 40.000’e kadar sistemi manuel olarak yeniden başlatmak zorunda kaldı.

ABD Ulaştırma Bakanlığı, Delta’nın kesinti sırasında müşteri destek yönetmeliklerine uyup uymadığını araştırıyor.

Alman federal güvenlik kurumu, dünya genelinde hizmetleri aksatan son küresel kesintinin temel nedenini belirlemek için CrowdStrike ve Microsoft ile görüşmeler yapıldığını ve yazılım üreticilerine gelecekte bu tür olayların önlenmesi için adım atmaları yönünde talimat verileceğini söyledi.

Küresel kesinti, 19 Temmuz’da CrowdStrike’ın Falcon uç nokta algılama ve yanıt platformuna gönderilen ve dünya çapında 8,5 milyon Windows makinesini sürekli bir “ölüm mavi ekranı” döngüsüne sokan hatalı bir güncellemeden kaynaklandı. CrowdStrike, çekirdek olarak bilinen işletim sisteminin merkezi kısmını manipüle edebildiği için Windows işletim sistemine düşük düzeyde erişime sahiptir.

Olay, bankalar, borsalar, muayenehaneler ve hastanelerdeki hizmetleri felç etti (bkz: Windows PC’lerde Meydana Gelen Toplu Kesinti Bankaları ve Havayollarını Etkiledi).

Almanya Federal Bilgi Güvenliği Ofisi (BSI), pazartesi günü yaptığı açıklamada, 2025’ten itibaren “aynı işlevselliği ve aynı koruma seviyesini korurken, asgari gerekli ayrıcalıklarla EDR araçlarını çalıştırmak için yeni ve daha dayanıklı mimarilerin tasarlanıp uygulanmasını” beklediklerini söyledi.

FBI ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, Çarşamba günü seçmenlere, dağıtılmış hizmet engelleme saldırılarının seçim sisteminin bütünlüğünü tehlikeye atamayacağını veya Amerikalılar’ın oy kullanmasını engelleyemeyeceğini hatırlattı.

Kurumlar, kamu spotunda yaptıkları açıklamada, DDoS saldırılarının “nerede ve nasıl oy kullanılacağına dair bilgi, seçmen kaydı gibi çevrimiçi seçim hizmetleri veya resmi olmayan seçim sonuçları” içeren web sitelerini çevrimdışı bırakabileceğini, ancak DDoS saldırılarının, bilgisayar korsanlarının iddia ettiği her ne olursa olsun, temel seçim yönetimi altyapısını tehlikeye atamayacağını belirtti.

DDoS, kendini ilan etmiş hacktivistlerin favori yöntemidir. Özellikle Rusya konuşan gruplar son yıllarda havaalanlarına, bulut hizmetlerine ve devlet kurumlarına DDoS saldırıları düzenlemiştir, ancak bu olaylar nadiren can sıkıcı bir seviyenin ötesine geçmektedir (bkz: Düştüler, Dışarıda Değiller: Rus Hacktivistler DDoS Kesintilerini İddia Ediyor).

Federal kurumlar, ABD seçim altyapısına yönelik DDoS saldırılarının sayısının 5 Kasım Seçim Günü yaklaştıkça artacağını söyledi.

Tehdit aktörleri, sahte Google Authenticator reklamları oluşturmak ve DeerStealer kötü amaçlı yazılımını yaymak için Google’ın reklam platformunu kullanıyor. Bu kötü amaçlı reklamlar, kurbanları şu gibi güvenilir URL’leri görüntüleyerek cezbediyor: google.comMalwarebytes, arama sonuçlarında Google Authenticator için sahte reklamların göründüğü ve kurbanların aşağıdaki gibi çevrimiçi alan adlarından kötü amaçlı yazılım indirmesine yol açan bir kampanya tespit etti: chromeweb-authenticators.com.

Bu reklamlar, algılamayı atlatmak ve incelemecilere ve kullanıcılara farklı web siteleri göstermek için URL gizlemeyi kullanır. Reklamveren kimliklerini doğrulamasına rağmen, Google tehdit aktörleri tarafından binlerce hesap oluşturulması nedeniyle kötü amaçlı reklamlarla mücadele ediyor. Buna karşılık, Google bildirilen sahte reklamları engellediğini ve otomatik ve insan inceleme sistemlerini ölçeklendirdiğini iddia ediyor. Google 2023’te 3,4 milyar reklamı kaldırdı, 5,7 milyarını kısıtladı ve 5,6 milyon reklamveren hesabını askıya aldı.

Güvenlik araştırmacıları, başlangıçta Bitdefender tarafından 2020’de analiz edilen Mandrake adlı bir Android siber casusluk kötü amaçlı yazılımının yeni bir sürümünü keşfetti. Kaspersky araştırmacıları, Nisan 2024’te şüpheli örnekleri tespit etti ve bunların güncellenmiş bir Mandrake varyantı olduğunu doğruladı. Bu sürüm, 2022’den 2024’e kadar beş Google Play uygulamasında gizlendi ve 32.000’den fazla indirme topladı. Uygulamalar arasında bir Wi-Fi dosya paylaşım uygulaması ve bir kripto para fiyat izleyicisi vardı.

Güncellenen Mandrake, kötü amaçlı işlevleri gizlenmiş yerel kütüphanelere taşıma, komuta ve kontrol sunucularıyla güvenli iletişim için sertifika sabitleme kullanma ve kök erişimli veya taklit edilmiş cihazlarda tespit edilmekten kaçınmak için testler gerçekleştirme gibi gelişmiş gizleme ve kaçınma taktikleri sunuyor.

Yeni Mandrake çok aşamalı bir enfeksiyon zinciri üzerinden çalışır. Kötü amaçlı etkinlik ilk başta yerel bir kütüphanede gizlenir ve yürütüldüğünde ikinci aşamayı şifreler ve yükler. Bu aşama, cihazın çekirdek kötü amaçlı yazılımı indirmesini ve yürütmesini, kullanıcı kimlik bilgilerini çalmasını ve ek kötü amaçlı uygulamalar dağıtmasını emredebilen C2 sunucusuyla iletişim kurar.

Bir bilgisayar korsanı Bausch Health’ten kapsamlı veriler çaldı ve Uyuşturucu Uygulama İdaresi’nin kontrollü maddelerin reçetelenmesinde kullanılan DEA kayıt numaraları da dahil olmak üzere verileri geri satın alabileceği inancıyla şirketten gasp etmeye çalıştı. Tehlikeye atılan Snowflake hesaplarıyla bağlantılı olan ihlal, Ticketmaster’daki önceki ihlallerle bağlantılı olan aynı bilgisayar korsanını içeriyor.

Bilgisayar korsanı, yeraltı bir forumda kamuoyuna açık bir şekilde 1,6 milyon DEA numarası ve reçete yazan doktor bilgilerini satışa sundu ve Bausch’tan verilerin satışını engellemek için 3 milyon dolar talep ederken, aynı zamanda farklı fiyatlarda daha az miktarda DEA numarasının reklamını yaptı.

Geçtiğimiz Haftadan Diğer Kapsamlar

Güney İngiltere’deki Information Security Media Group’tan Akshaya Asokan ve Washington, DC’deki David Perera’nın raporlarıyla