Tehdit araştırmacıları ve ABD’li yetkililere göre, ABD’deki kritik altyapı sağlayıcıları ve diğer kuruluşlar, İran bağlantılı aktörlerden gelecek kötü amaçlı siber saldırılara karşı artan bir riskle karşı karşıya.
The FBI ve Siber Güvenlik ve Altyapı Güvenlik Ajansı Geçtiğimiz hafta Savunma Bakanlığı Siber Suç Merkezi ile birlikte İran’ın ABD ve diğer yabancı ülkelerdeki önemli endüstrilere saldırmak için suçlu fidye yazılımı gruplarıyla işbirliği yaptığına dair ortak bir uyarı yayınlandı.
Yetkililer, Pioneer Kitten olarak bilinen grubun, fidye ödemelerinin bir kısmı karşılığında AlphV, Ransomhouse ve NoEscape gibi yüksek profilli fidye yazılımı aktörleriyle işbirliği yaptığını söyledi. İran bağlantılı aktörler, Temmuz ayında potansiyel olarak savunmasız olan Check Point Güvenlik Ağ Geçitleri için IP adreslerini taradıkları görüldü. CVE-2024-24919.
Check Point güvenlik açığı, ilk olarak mayıs ayının sonlarında açıklandısaldırganların uzaktan erişim VPN veya mobil erişim etkinleştirilmiş internet bağlantılı ağ geçitlerindeki bilgileri okumasına olanak sağladı.
Federal yetkililer, tehdit aktörlerinin en son Nisan ayında Palo Alto Networks PAN-OS veya GlobalProtect VPN cihazlarına ev sahipliği yapan IP adreslerini taradıklarını gördüklerini söyledi. Bu taramalar muhtemelen şunları içeriyordu: CVE-2024-3400.
Palo Alto Networks, dünya genelindeki saldırganların diğer satıcı cihaz kusurlarıyla birlikte bu güvenlik açığını da taradığını ve Unit 42’deki araştırmacıların İran bağlantılı tehdit aktörünü takip ettiğini söyledi, Unit 42’nin Başkan Yardımcısı ve CTO’su Michael Sikorski, e-posta yoluyla söyledi. Şirket, Azaltma tavsiyesi olan müşteriler.
Palo Alto Ağları komut enjeksiyonu güvenlik açığımaksimum 10 önem derecesine sahip olup, kimliği doğrulanmamış bir saldırganın kök ayrıcalıklarıyla keyfi kod yürütmesine izin verebilir.
Devlet bağlantılı aktörler daha önce Citrix NetScaler ile bağlantılı güvenlik açıklarını hedef almıştı; bunlara şunlar dahildir: CVE-2023-3519F5 Big-IP cihazları da dahil olmak üzere CVE-2022-1388.
Tenable’dan araştırmacılar, tavsiyenin şu gerçeği vurguladığını söyledi: savunmasız varlıkların yalnızca yaklaşık yarısı uygun şekilde onarılmıştır.
Tenable’da araştırma mühendisi olarak çalışan Rody Quinlan, “Bu güvenlik açıklarını kapatmak genellikle karmaşık süreçleri, potansiyel kesintileri ve kritik hizmetlerin kesintiye uğraması riskini içerir” dedi.
Quinlan, bu endişelerin ötesinde, birçok kuruluşun eski sistemlerle ilgili sorunları, kaynak kısıtlamaları olduğunu ve yamaları uygulamadan önce kapsamlı testler gerektirdiğini söyledi. Bu, bu kritik güvenlik açıklarının ele alınmasında gecikmelere neden olabilir.
Daha fazla aksiyon yolda
Bu sırada, Microsoft araştırmacıları geçen hafta İran İslam Devrim Muhafızları Ordusu’na bağlı bir tehdit aktörü olan Peach Sandstorm’un araştırmacıların Tickler adını verdiği özel, çok aşamalı bir arka kapı kullandığı konusunda uyardı. Microsoft, Peach Sandstorm tehdit faaliyetinin CISA ve FBI’ın uyarılarında belirtilen saldırılardan ayrı olduğunu söyledi.
Arka kapı, hem ABD hem de Birleşik Arap Emirlikleri’nde federal ve eyalet hükümetlerine, petrol ve gaz, uydu ve iletişim sektörlerine saldırmak için kullanılıyor. Peach Sandstorm, eğitim sektörünün yanı sıra uydu, savunma ve hükümet sektörlerine karşı parola püskürtme saldırıları düzenlemeye devam ediyor.
Araştırmacılar ayrıca tehdit aktörünün 2021’den bu yana LinkedIn üzerinden bu sektörlerdeki hedeflere yönelik sosyal mühendislik saldırıları başlattığını da gözlemlediler.
Saldırganlar, Tickler kötü amaçlı yazılımını dağıtmadan önce hedef kuruluşların Azure altyapısını komuta ve kontrol amacıyla kötüye kullanıyordu.
CISA yetkilileri, uyarıda belirtilenlerin ötesinde İran bağlantılı tehdit faaliyetleri hakkında yorum yapmayı reddetti.