Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale
Ayrıca: Turla, Avrupa Misyonlarını Hedefliyor ve Google, Chrome Sıfır Günlerini Yamalıyor
Jayant Chakravarti (@JayJay_Tech) •
16 Mayıs 2024
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta bilgisayar korsanları Linus arka kapısını ve Microsoft istemci yönetimi aracını kullandı; Avustralya enerji sağlayıcısı ve müzayede evi Christie’s’in Helsinki Eğitim Bölümü’ne bağlı Santander Bank’ın güvenliği ihlal edildi; bilgisayar korsanları Orta Doğu’daki Avrupa misyonlarını hedef aldı; ve Google bir sıfır gün kusurunu düzeltti.
Ayrıca bakınız: Fidye Yazılımına Müdahale Esası: İlk Erişim Vektörünü Düzeltme
.
Kuzey Koreli Hackerlar Linux Trojanını Yazılım Güncellemesi Olarak Dağıtıyor
Symantec’in Tehdit Avcısı Ekibi’nden araştırmacılar, popüler olarak Kimsuky olarak bilinen Kuzey Koreli bilgisayar korsanlığı grubunun, Güney Koreli hedeflere karşı bir kampanya kapsamında yazılım güncellemesi olarak bir Linux arka kapısı dağıttığını söyledi. Arka kapı, Linux.Gomiryapısal olarak “neredeyse aynı” ve Kimsuky’ye bağlı, GoBear olarak izlenen Windows tabanlı bir arka kapıyla kapsamlı kodu paylaşıyor.
Pyongyang tehdit grubunun, dış dünyanın Hermit Krallığı’na nasıl baktığına dair istihbarat elde etmek için düşünce kuruluşlarına, hükümetlere ve gazetecilere karşı agresif sosyal mühendislik taktikleri kullanma geçmişi var. Ayrıca Emerald Sleet, APT43, Velvet Chollima ve Black Banshee olarak da takip ediliyor. Symantec buna Springtail diyor. Bazen tehdit aktörü, e-postalarda Kore yarımadası siyasetiyle ilgileniyormuş gibi davranarak ve ardından kurbanlardan bir arka kapı indirmelerini isteyerek istihbarat toplar (bkz.: Kimsuky, E-postaları Sahtekarlık Etmek İçin İzin Veren DMARC Politikalarını Kullanıyor).
Perşembe günü Symantec’in bir blog yazısında, Kimsuky’nin son kampanyası, Truva atı içeren yazılım paketlerinin “artık Kuzey Koreli casusluk aktörleri için en çok tercih edilen enfeksiyon vektörleri arasında yer aldığını” gösteriyor. Taklit ettiği yazılım, “Güney Kore merkezli hedeflere bulaşma şansını en üst düzeye çıkarmak için dikkatle seçildi.”
Buna benzer diğer kötü amaçlı yazılımlar Linux.Gormir Troll Stealer ve BetaSeed olarak takip edilen Truva atlarını içerir.
Bilgisayar Korsanları Black Basta Fidye Yazılımını Dağıtmak İçin Microsoft Aracını Kullanıyor
Microsoft Threat Intelligence araştırmacıları, finansal motivasyona sahip bir tehdit grubunun, kurban cihazlarına Qakbot ve Cobalt Strike kötü amaçlı yazılımlarını ve sonuçta Black Basta fidye yazılımını yüklemek için sesli kimlik avı ve Microsoft istemci yönetim aracını kullandığını söyledi.
Microsoft’un Storm-1811 olarak takip ettiği tehdit grubu, telefon görüşmelerinde BT desteği veya yardım masası personelinin kimliğine bürünerek kurbanları bir uzaktan erişim aracı olan Microsoft Hızlı Yardım aracılığıyla erişim izni vermeye ikna ediyor. Bir kullanıcı erişim izni verdiğinde, bilgisayar korsanları, Qakbot kötü amaçlı yazılımını, ScreenConnect ve NetSupport Manager gibi uzaktan yönetim araçlarını ve bilgisayar korsanlarının dayanak noktası olan Cobalt Strike’ı yüklemelerine olanak tanıyan, bazıları spam filtre dosyaları gibi görünen kötü amaçlı yükler indirir.
Araştırmacılar, “Storm-1811 onların erişiminden yararlanıyor ve etki alanı numaralandırma ve yatay hareket gibi klavye üzerinde uygulamalı faaliyetler gerçekleştiriyor. Storm-1811 daha sonra Black Basta fidye yazılımını ağ genelinde dağıtmak için PsExec’i kullanıyor” dedi.
BlackBasta ve Qakbot’un, fidye yazılımı grubunun Nisan 2022’deki ilk ortaya çıkışından kalma bir ilişkisi var. Qakbot, QBot olarak da biliniyor ve geçen Ağustos ayında uluslararası bir yasa uygulama operasyonunun hedefiydi. Operatörleri o zamandan beri botnet’i yeniden yapılandırmaya başladı (bkz: Microsoft, Qakbot Tarafından İstismar Edilen Sıfır Gün Yamalarından Yararlanıyor).
Santander İhlali Milyonlarca Veriyi Açığa Çıkardı
İspanyol bankası Santander Salı günü yaptığı açıklamada, yetkisiz aktörlerin üçüncü taraf bir sağlayıcı tarafından barındırılan dahili bir veritabanına eriştiğini söyledi. Veritabanı, Santander Şili, İspanya ve Uruguay müşterilerinin yanı sıra bankanın tüm mevcut çalışanlarının ve bazı eski çalışanlarının kişisel bilgilerini içeriyordu.
Banka, etkilenen veritabanı müşterilerin çevrimiçi bankacılık ayrıntılarını, şifrelerini veya işlem verilerini saklamamasına rağmen, ele geçirilen veritabanına erişimi kapattığını ve etkilenen müşterileri korumak için dolandırıcılık önleme kontrolleri uygulamaya koyduğunu söyledi. “Bankanın operasyonları ve sistemleri etkilenmedi, bu nedenle müşteriler güvenli bir şekilde işlem yapmaya devam edebilirler” dedi. Bankanın dünya çapında 200.000’den fazla çalışanı ve İspanya ve Şili’de 20 milyona yakın müşterisi bulunmaktadır.
Rus Turla Hackerları Avrupa Dış Misyonlarını Casusluk Yapıyor
Eset Araştırma’nın bir raporuna göre, Rusya’daki siber casusluk grubu Turla, Avrupa Dışişleri Bakanlığı’nı ve yurtdışındaki, özellikle Orta Doğu’daki bazı diplomatik misyonlarını tehlikeye atmak için önceden bilinmeyen iki arka kapıyı kullandı.
Araştırmacılar, siber casusluk kampanyasının Turla’nın aynı ağdaki ilgili kurumların makinelerine yanal hareket sağlamak için bir etki alanı denetleyicisine önceden erişim kullanmasını ve yurtdışındaki çeşitli görevlerde LunarWeb ve LunarMail arka kapılarını yerleştirmesini içerdiğini söyledi.
Eset’e göre LunarWeb, komut ve kontrol iletişimi için HTTPS kullanarak sunuculara bulaşıyor ve meşru istekleri taklit ediyor. LunarMail, bir Outlook eklentisi olarak iş istasyonlarına bulaşıyor ve komuta ve kontrol iletişimleri için e-postaya güveniyor. Her iki arka kapı da tespit edilmekten kaçınmak için görüntülerde gizlenen komutları kullanıyor; araştırmacıların steganografi olarak adlandırdığı bir teknik.
Araştırmacılar, her iki arka kapının da sistem bilgilerini toplama, dosya yazma, yeni süreçler oluşturma ve Lua komut dosyalarını çalıştırma gibi benzer işlevlere sahip olduğunu söyledi. Aralarındaki fark, LunarWeb’in sistemden bilgi sızdırması ve LunarMail’in alıcıların gönderdiği e-posta mesajlarından bilgi toplamasıdır.
ABD Adalet Bakanlığı, 2023 yılında bilgisayarlara Snake kötü amaçlı yazılım bulaştıran Turla kötü amaçlı yazılım operasyonunu kesintiye uğrattı. FBI, Turla’nın Rusya Federal Güvenlik Servisi’nin bir birimi olduğunu söyledi. Grup aynı zamanda Kripton, Zehirli Ayı ve Su Böceği isimleriyle de takip ediliyor.
Avustralya Enerji Kurumu Müşteri Verilerinin İhlalini Ortaya Çıkardı
Avustralya elektrik ve enerji kuruluşu Sumo, yetkisiz bir üçüncü tarafın, 40.000’den fazla müşterinin verilerine erişim sağlayan bir üçüncü taraf dosya depolama uygulamasına erişim sağladığını söyledi. Etkilenen müşterilerin sayısı artabilir.
Sumo, “Olayda hiçbir ödeme bilgisine ulaşılamadı” dedi.
Hackerlar New York Müzayedesi Öncesi Müzayede Evini Hedef Alıyor
İngiliz müzayede evi Christie’s, hafta sonu şirketin resmi web sitesinin bir siber saldırıyla kapatılmasının ardından New York’taki bahar sanat müzayedeleri için çevrimiçi teklifleri askıya aldı. Müzayede evi, yılın en önemli müzayede etkinliğinin şahsen ve telefonla yapılacağını söyledi.
Müzayede evi, yaklaşan müzayedelerin programlarını ve küresel yardım hattı numaralarını listeleyen geçici bir web sitesinde, “Web sitemizin tamamı şu anda çevrimdışı olduğu için özür dileriz. Bunu mümkün olan en kısa sürede çözmek istiyoruz ve verdiğimiz rahatsızlıktan dolayı üzgünüz.” dedi. Müzayede evi BBC’ye “Christie’s’in bu tür olayları yönetmek için düzenli olarak test edilen köklü protokolleri ve uygulamaları var” dedi.
Bilgisayar Korsanları Eğitim Bölümünden Milyonlarca Veri Kaydını Çaldı
Helsinki şehri Pazartesi günü yaptığı açıklamada, kötü niyetli aktörlerin on binlerce öğrenci ve velinin kişisel bilgilerine ve ağ sürücülerinde depolanan on milyonlarca dosyaya erişim sağlamak için uzaktan erişim sunucusundaki bir güvenlik açığından yararlandığını söyledi.
Kötü niyetli aktörler 30 Nisan’da Helsinki’nin eğitim bölümü ağını hedef aldı. Şehir, güvenlik açığına yönelik mevcut düzeltme yamasının kullanılmadığını söyledi. İhlalle ilgili yapılan soruşturma, bilgisayar korsanlarının 80.000’den fazla öğrencinin ve velilerinin verilerinin yanı sıra tüm şehir personelinin kimlik bilgilerine, kişisel kimliklerine ve adreslerine eriştiğini ortaya çıkardı.
Helsinki Dijital Baş Sorumlusu Hannu Heikkinen, tehdit aktörünün aynı zamanda Eğitim Bölümü’ne ait ağ sürücülerindeki içeriğe de eriştiğini, bunların arasında bazıları hassas kişisel bilgiler içeren on milyonlarca veri dosyası bulunduğunu söyledi. “Bunlar, erken çocukluk eğitimi ve bakımı müşterilerinin ücretlerine (ve gerekçelerine) ilişkin bilgileri, öğrenci refahından gelen bilgi talepleri gibi çocukların durumuyla ilgili hassas bilgileri veya özel destek ihtiyacına ilişkin bilgileri ve uzaklaştırmayla ilgili tıbbi sertifikaları içerir. lise öğrencilerine yönelik çalışmaların yanı sıra Eğitim Bölümü personelinin hastalık izni kayıtları.”
Google, Chrome Sıfırıncı Gün Yamalarını Yasladı
Google, Çarşamba günü yayınlanan bir acil durum düzeltmesinde V8 JavaScript motorunda aktif olarak yararlanılan bir sıfır günü yamaladı. CVE-2024-4947 olarak takip edilen kusur, bir tür karışıklık zayıflığıdır. Google genellikle güvenlik güncellemelerindeki kusurlar hakkında çok az bilgi açıklar.
Edge tarayıcısı için Google’ın Chromium platformunu kullanan Microsoft (GlobalStats’a göre yaklaşık %5 pazar payına sahip) Çarşamba günü “bir güvenlik düzeltmesi yayınlamak için aktif olarak çalıştığını” söyledi.
Bu güvenlik açığı, Google’ın bir hafta içinde yamaladığı, Chrome’da aktif olarak kullanılan üçüncü sıfır gün güvenlik açığıdır. Pazartesi günü yapılan iki güncelleme, bu tür iki kusuru daha düzeltti: CVE-2024-4671 ve CVE-2024-4761. Her biri, bir bilgisayar korsanının Chrome sanal alanından kaçmasına, yani potansiyel olarak tek bir Chrome tarayıcı sekmesinin sınırlarından kaçmasına olanak sağladı.
Geçen Haftanın Diğer Haberleri
Bilgi Güvenliği Medya Grubu’ndan David Perera’nın Washington DC’deki raporuyla