İhlal Özeti: Sisense Tedarik Zinciri Saldırısı


Siber Suçlar, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar

Ayrıca: Romanya’daki bir Botnet ve Alkol Danışmanı Anıtı, Reklamlar Üzerinden ABD FTC’siyle Anlaştı

Anviksha Daha Fazla (AnvikshaDevamı) •
11 Nisan 2024

İhlal Özeti: Sisense Tedarik Zinciri Saldırısı
Resim: Shutterstock

ISMG her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini topluyor. Bu hafta, Sisense müşterileri için bir ABD uyarısı, muhtemelen bir Romen botnet’i, gerçekten büyük bir Salı Yaması, Apple 92 ülkedeki iPhone sahiplerini potansiyel bir casus yazılım enfeksiyonu konusunda uyarıyor ve AT&T müşterilerini veri ihlali konusunda uyarıyor. Ayrıca çevrimiçi alkol tedavi şirketi Monument, müşteri verilerini reklamverenlerle, ihlalden etkilenen Home Depot çalışanlarıyla paylaşamayacak, Targus ihlali ifşa ediyor ve bir tehdit aktörü Fas’taki aktivistleri hedef alıyor.

Ayrıca bakınız: Doğu Avrupa’dan Yayılan Son Fidye Yazılımı Salgını

ABD CISA, Görünen Tedarik Zinciri Saldırısından Sonra Sisense Müşterilerine Kimlik Bilgilerini Değiştirme Çağrısında Bulundu

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Perşembe günü veri analitiği servis sağlayıcısı Sisense’in müşterilerini oturum açma kimlik bilgilerini ve kimlik doğrulama sırlarını sıfırlamaya çağırdı.

Ajans, Sisense’deki “bağımsız güvenlik araştırmacıları tarafından yakın zamanda keşfedilen bir uzlaşmaya” yanıt verdiğini ve olayı çözmek için endüstriyle birlikte çalıştığını söyledi. New York merkezli Sisense, müşterileri arasında Air Canada, Philips ve Verizon’u sayıyor. CyberScoop, “soruşturmaya aşina bir kaynağa” atıfta bulunarak, olayın “yüzlerce Sisense müşterisini bir tedarik zinciri saldırısına maruz bırakmış ve saldırgana şirketlerin müşteri ağlarına giriş kapısı sağlamış olabileceğini” bildirdi.

Brian Krebs, Sisense CISO’sunun müşterilere “şirket bilgilerinin sınırlı erişimli bir sunucuda (genellikle internette mevcut olmayan) bize tavsiye edilenler hakkında kullanıma sunulmuş olabileceği” uyarısında bulunduğunu söylediği bir mesaj yayınladı. Bağımsız siber güvenlik gazetecisi, olayı potansiyel olarak milyonlarca kimlik bilgisini ve yüzlerce kiracıyı etkileyen bir tedarik zinciri saldırısı olarak nitelendirdi.

2004 yılında Tel Aviv’de kurulan Sisense yazılımı, müşterilerin kurumsal ağlardan yararlanarak veri toplamasına, analiz etmesine ve görselleştirmesine olanak tanıyor.

Rubycarp Botnet On Yıl Sonra Ortaya Çıktı

Sysdig’deki güvenlik araştırmacıları, Rumen bir suç grubu tarafından işletildiği anlaşılan bir botnet’in en az 10 yıldır faaliyette olduğunu tespit ettiklerini söyledi

Sysdig’in Rubycarp adını verdiği tehdit aktörü, kripto madencilik, kimlik avı ve dağıtılmış hizmet reddi de dahil olmak üzere “mali kazanç sağlayan yüklerle ilgileniyor”. Kimlik avı operasyonları yoluyla kredi kartlarını ele geçirmek de dahil olmak üzere, “Tehdit altındaki varlıklarından para kazanmak için bir dizi farklı araç kullandığını gördük.”

Rubycarp, botnet’ini genel istismar ve kaba kuvvet saldırıları yoluyla yayıyor. Sysdig, bunun Trend Micro tarafından 2018’de keşfedilen Outlaw hack grubuyla ilgili olabileceğini söyledi. Her ikisi de, 2014’te keşfedilen Bash komut satırı arayüzündeki güvenlik açıkları koleksiyonu olan Shellshock’tan yararlanan, Perl tarafından yazılmış bir komut dosyası kullanan bir botnet olan Shellbot’u kullanıyor (bkz.: Bash Bug: Heartbleed’den Daha Büyük). Ancak bu pek kesin bir gösterge değil: “Siber suç tehdit istihbaratının karanlık dünyasında, hem araçlarda hem de hedeflemede genellikle çok fazla geçiş var.”

Rubycarp, kimliği doğrulanmamış uzak saldırganların Laravel uygulamalarında rastgele kod yürütmesine olanak tanıyan bir yıllık güvenlik açığı olan CVE-2021-3129’u istismar etmesiyle Sysdig’in dikkatini çekti. Siber güvenlik firması ayrıca Rubycarp’ın kullanıcı adı ve şifre yığınlarını kullanarak WordPress sitelerini hedeflediğine dair kanıt da keşfetti.

Canavar Yaması Salı Güncellemesi

Microsoft, Salı günü Windows, Office, Azure ve daha fazlası dahil olmak üzere çeşitli ürünlerdeki 150’ye yakın güvenlik açığını gideren dev bir aylık güncellemeyi duyurdu.

Trend Micro’nun Zero Day Initiative’inden Dustin Childs, bunu son yılların en büyük Salı Salı sürümü olarak nitelendirdi. Çok sayıda güvenlik açığına rağmen yalnızca üç güvenlik açığı “kritik”ti ve bunların çoğu “önemli” kategorisine giriyordu ve yararlanılması için kullanıcı etkileşimi gerekiyordu.

Dikkate değer hatalar arasında, kötü amaçlı bağlantılar aracılığıyla parola karması hırsızlığına izin veren bir Windows için Outlook kimlik sahtekarlığı güvenlik açığı olan CVE-2024-20670 yer alıyor. Başka bir hata olan CVE-2024-29063, Azure’un arama arka ucundaki sabit kodlanmış kimlik bilgilerini açığa çıkarıyor.

Microsoft, bir “proxy sürücüsü sahtekarlığı” zayıflığı olan CVE-2024-26234 de dahil olmak üzere aktif olarak yararlanılan iki sıfır günü doğruladı. Diğeri ise CVE-2024-29988, saldırganların Windows SmartScreen’i atlamasını sağlıyor.

Microsoft ayrıca Windows Güvenli Önyükleme’deki iki düzine kusura yönelik düzeltmeler de yayınlıyor.

Apple 92 Ülkedeki Kullanıcıları Ticari Casus Yazılımlara Karşı Uyardı

Akıllı telefon devi Apple Çarşamba günü 92 ülkedeki kullanıcılara iPhone’larına NSO Group’un Pegasus’u gibi paralı asker casus yazılımlarının bulaşabileceğini bildirdi. Information Security Media Group tarafından incelenen uyarıda Apple, alıcılara Kilitleme modunu etkinleştirmelerini, cihazlarını güncellemelerini ve kâr amacı gütmeyen kuruluş Access Now’ın dijital güvenlik yardım hattıyla iletişime geçmelerini tavsiye ediyor (bkz: Apple Kilitleme Modu Devlet Destekli Casus Yazılımları Önlemeyi Amaçlıyor).

Biden yönetimi, ticari casus yazılımların kötüye kullanılmasına karşı bir koalisyona katılmaları için müttefikler toplayarak ve casus yazılım geliştiricilerine yaptırım uygulayarak ticari casus yazılımların çoğalmasını engellemeye çalıştı.

AT&T Veri İhlalinden Etkilenen Müşterileri Bilgilendiriyor

AT&T, 51 milyon kişiye, suça yönelik bir bilgisayar korsanlığı forumunda yayınlanan müşteri verilerinin sızdırılmasından etkilendiklerini bildiriyor.

Telekomünikasyon devi, Mart ayı sonlarında tam adlar, e-posta adresleri, posta adresleri, doğum tarihleri, telefon numaraları ve 2019 ve öncesine ait Sosyal Güvenlik numaraları gibi bilgileri içeren sızdırılan müşteri kayıtlarının gerçekliğini doğruladı.

Tüketicilere gönderilen bir bildirimde “Bildiğimiz kadarıyla kişisel finansal bilgiler ve çağrı geçmişi dahil edilmedi” deniyor.

Sızıntı, ilk kez 2021’de çevrimiçi olarak ortaya çıktığından beri birçok suç forumu ev sahipliği yaptı. AT&T, kendi sistemlerinden kaynaklanan verileri yıllarca reddetti ve veriler yeniden ortaya çıktıktan sonra 2019 ortasında bu reddi yeniledi. Sızıntıda “AT&T verilerine özgü alanlar” olduğunu kabul eden bir bildiriyle 30 Mart’ta ani bir dönüş yaptı (bkz: Sızan Veri Seti AT&T’nin Mevcut ve Eski Müşterilerine Ait).

Şirket Mart ayında etkilenen kişilerin sayısını 73 milyon olarak açıkladı, ancak sızıntı hakkında yalnızca 51 milyon kişiyi bilgilendirdi. AT&T, düşük sayının veri setinde birden fazla hesaba sahip olan veya hassas bilgileri sızıntıda görünmeyen müşterileri yansıttığını söyledi.

Çevrimiçi Alkol Tedavi Firmasının Sağlık Verilerini Reklamverenlere İfşa Etmesi Yasaklandı

ABD Federal Ticaret Komisyonu Perşembe günü New York merkezli şirketle anlaşmaya varıldığını duyururken, çevrimiçi alkol rehabilitasyon sağlayıcısı Monument’ın müşteri bilgilerini reklamverenlerle paylaştığını söyledi.

Federal mahkemeye sunulan bir şikayette ajans, Monument’ın Ocak 2020’den en az Aralık 2022’ye kadar haftalık terapi seansları için ödeme yapmak gibi müşteri davranışlarını izlemek için web sitesinde bir izleme pikseli kullandığını söyledi. Şirket, müşterilere bu bilgileri önceden yazılı izin olmadan ifşa etmeyeceğini söylemiş ve bunun Sağlık Sigortası Taşınabilirlik Sorumluluk Yasası’na uygun olduğunu ileri sürmüştü.

Şikayette, şirketin bu bilgilerin yanı sıra e-posta ve IP adresleri gibi tanımlayıcı verileri reklamverenlerle, Monument hizmetlerine yönelik ek reklamlar göstermek amacıyla paylaştığı belirtiliyor. Monument, e-posta adreslerini sosyal medya devi Meta gibi üçüncü taraflara açıklamadan önce hash’ledi.

“Monument, Meta gibi üçüncü tarafların hash işlemini etkili bir şekilde geri alacağını ve ilgili üçüncü tarafların platformlarında hesapları olan kullanıcıların e-posta adreslerini açığa çıkaracağını biliyordu; Meta bu şekilde bu e-posta adreslerini Facebook kullanıcı kimlikleriyle eşleştirdi.” şikayet okur.

Haziran 2020’de Meta, Monument’a, müşteriler terapiye kaydolduğunda veya terapi için ödeme yaptığında veya belirli terapi planı adlarını iletmeyi durdurmasını söyledi. Monument, “Ücretli – İki Haftalık Terapi ile Tam Bakım” ifadesini “Ücretli – A” gibi veri alanlarıyla değiştirerek yanıt verdi.

Monument müşteri verilerinin diğer alıcıları arasında Microsoft, AdRoll, Amazon, Google, Pinterest ve Quora yer aldı.

Federal bir yargıcın onayını gerektiren önerilen uzlaşma emri uyarınca, Monument’ın bilgileri reklam amacıyla üçüncü taraflara açıklamayı bırakması ve bilgileri başka herhangi bir amaçla ifşa etmeden önce açık onay alması gerekiyor. Ayrıca müşteri bilgilerini alan tüm reklamverenlerden bu bilgileri silmelerini istemelidir.

Monument yorum talebine hemen yanıt vermedi. Şirketin ayrıca müşterilerini ne yaptığı konusunda bilgilendirmesi ve önümüzdeki 20 yıl boyunca her iki yılda bir bağımsız incelemeye tabi bir gizlilik programı oluşturması gerekiyor.

Home Depot Veri İhlalini Doğruladı

Bleeping Computer’ın haberine göre, ev dekorasyonu perakendecisi Home Depot, yaklaşık 10.000 çalışanı etkileyen bir veri ihlali olduğunu kabul etti.

İhlal, üçüncü taraf bir hizmet olarak yazılım satıcısının sistem testi sırasında yanlışlıkla çalışan adlarını, iş e-posta adreslerini ve kullanıcı kimliklerini ifşa etmesinden kaynaklandı. Sızan veriler çok hassas olmasa da Home Depot personeline yönelik hedefli kimlik avı saldırılarını kolaylaştırabilir. Verilerin sızdırılmasından sorumlu tehdit aktörü IntelBroker, DC Health Link, PandaBuy, Acuity, Hewlett Packard Enterprise ve Weee! gibi daha önceki ihlallerle tanınıyor! bakkal hizmetinin yanı sıra General Electric Aviation’ın ihlal edildiği iddiası.

Targus Siber Saldırıların Operasyonları Engellediğini Açıkladı

Bilgisayar dizüstü bilgisayar çantası üreticisi Targus, Cuma günü ABD’li federal düzenleyicilere, bilgisayar korsanlarının şirketin dosya sunucularına eriştiğini ve olaya müdahale önlemlerinin uygulanmasını teşvik ettiğini söyleyerek bir siber saldırıyı ortaya çıkardı. Ana şirket B. Riley Financial, şirketin ihlale verdiği yanıtın “Targus ağının ticari faaliyetlerinde geçici bir kesintiye yol açtığını” söyledi.

B. Reiley Financial, olayın mali durumunu “veya bir bütün olarak operasyon sonuçlarını” maddi olarak etkileyeceğine inanmadığını söyledi.

Afrika’daki İnsan Hakları Aktivistlerini Hedef Alan Yeni Tehdit Aktörü

Cisco Talos, Fas ve Batı Sahra bölgesindeki insan hakları aktivistlerini hedef alan, Starry Addax adını verdiği yeni bir tehdit aktörünü belirledi. Grup, kurbanları sahte Android uygulamaları yüklemeye veya Windows kullanıcıları için sahte oturum açma sayfalarına erişmeye yönlendirerek kimlik avı saldırıları kullanıyor.

Ocak ayından bu yana faaliyet gösteren Starry Addax, hedef odaklı kimlik avı e-postaları göndererek kurbanları sahte bir uygulama yüklemeye veya kimlik bilgisi toplama sayfalarını ziyaret etmeye teşvik ediyor. FlexStarling olarak adlandırılan Android kötü amaçlı yazılımı, ek kötü amaçlı bileşenler sunma ve hassas verileri çalma yeteneğine sahiptir.

Saldırganlar aşağıdaki altyapıyı kullanıyor: ondroid.site Ve ondroid.store kimlik bilgisi toplama sayfalarını barındırmak ve Firebase’de komuta ve kontrol sunucuları kurmak. .

Geçen Haftadan Diğer Hikayeler

Bilgi Güvenliği Medya Grubu’ndan Mumbai, Hindistan’daki Mihir Bagwe ve Washington, DC’den David Perera’nın raporları ile





Source link