İranlı Grup Nükleer Uzmanları Hedefliyor

Charming Kitten, Batılı Nükleer Uzmanları Hedef Aldı

Proofpoint’teki araştırmacılar, Charming Kitten olarak da bilinen İranlı siber casusluk grubu TA453’ün nükleer silah uzmanlarını hedef alan bir kimlik avı kampanyası yürüttüğünü keşfetti. İran hükümetiyle bağlantıları olduğuna inanılan bu grubun, ABD ve Avrupa’daki hükümet yetkililerini, politikacıları, düşünce kuruluşlarını ve kritik altyapıyı hedef alma geçmişi var.

Mart ve Mayıs ayları arasında gerçekleştirilen son kampanya, grubun Batılı dış politika araştırmacılarıyla yakınlık kurmak için düşünce kuruluşu çalışanlarını taklit etmesini içeriyordu. Zararsız e-postalar aracılığıyla iletişim başlattılar ve daha sonra parola korumalı bir Dropbox URL’si içeren kimlik avı e-postaları gönderdiler. Kurbanlar, URL’nin ilgili araştırmaya erişim sağlayacağına inandırıldı, ancak bunun yerine kötü amaçlı dosyaları çalıştırdı ve sistemlerine bir arka kapı kurdu. Ardından arka kapı, ek kötü amaçlı yazılım yüklerini indirmek için bir bulut barındırma sağlayıcısına ulaştı.

Kanıt noktası araştırmacıları, bu kampanyanın büyük ölçüde hedeflendiğini söyledi – 10’dan az kişinin gruptan kimlik avı e-postaları aldığı biliniyor. Ancak şu ana kadar herhangi bir enfeksiyon kanıtı tespit edilmedi.

Son kampanyada TA453, Macintosh bilgisayarları hedef aldı. İlk kötü amaçlı yazılımı bir çalışanın Mac’inde çalışamadığında, grup derhal Mac uyumlu bir sürüm geliştirdi ve bunu RUSI temalı bir sanal özel ağ programı kılığında parola korumalı bir ZIP dosyası aracılığıyla dağıttı.

Araştırmacılar, tehdit aktörünün, tespit edilmekten kaçınmak ve kesintisiz casusluk faaliyetleri sağlamak amacıyla, enfeksiyon zincirini uyarlama konusunda dikkate değer bir yetenek gösterdiğini söyledi.

130.000’den Fazla Güneş Enerjisi İzleme Sistemi Ortaya Çıktı

Cyble’ın tehdit analistleri, halka açık web üzerinden erişilebilir olmaları nedeniyle on binlerce fotovoltaik izleme ve teşhis sisteminin bilgisayar korsanları tarafından hedef alınma riski altında olduğunu keşfetti. Bu sistemler, uzaktan performans izleme, sorun giderme ve yenilenebilir enerji üretimini optimize etmede çok önemli bir rol oynamaktadır.

Araştırmacılar internete maruz kalan PV yardımcı programlarını taradılar ve aralarında Solar-Log, Danfoss Solar Web Server, Contec SolarView ve SMA Sunny WebBox’un da bulunduğu çeşitli satıcılardan yararlanılabilen 134.634 ürün keşfettiler. Açığa çıkan varlıklar doğrudan savunmasız veya yanlış yapılandırılmış olmasa da, kimliği doğrulanmamış ziyaretçiler, olası saldırılarda yararlanılabilecek ayarlar gibi bilgilere erişebilir.

Rapor, bazılarının konsept kanıtı istismar koduna sahip olmasına rağmen, ürünlerdeki güvenlik açıklarının varlığını vurguluyor ve bilgi çalan kötü amaçlı yazılımların bu PV kontrol sistemleri için oturum açma kimlik bilgilerini toplayabileceği konusunda uyarıda bulunuyor.

Bu riskleri azaltmak için, PV sistem yöneticilerine güçlü ve benzersiz kimlik bilgileri kullanmaları, mümkün olduğunda çok faktörlü kimlik doğrulamayı etkinleştirmeleri, sistemleri güncel tutmaları ve – mümkünse – ekipmanı kendi ağında ayırmaları önerilir.

MOVEit Güncellemesi: Veri Sızıntılarıyla Kuruluşlar İhlali Onaylıyor

MOVEit dosya aktarım aracındaki bir güvenlik açığından yararlanan son toplu saldırılardan etkilenen önemli sayıda kuruluş, bilgisayar korsanlarının hassas verilere eriştiğini doğruladı. Progress Software’in MOVEit hizmetindeki güvenlik açığından 130’dan fazla kuruluş etkilendi ve şimdiye kadar en az 33 veri ihlali ifşasıyla sonuçlandı. Emsisoft’ta bir tehdit analisti olan Brett Callow’a göre, etkilenen bireylerin toplam sayısı 17,5 milyonu aştı.

Petrol üreticisi Shell, bu hafta bilgisayar korsanlarının MOVEit Transfer aracını kullanarak “çalışanlarla ilgili bazı kişisel bilgilere” eriştiklerini doğruladı. Şirket, erişilen belirli verileri, etkilenen kişilerin sayısını veya ihlalin boyutunu açıklamadı.

Toplu MOVEit saldırılarından sorumlu olan Clop fidye yazılımı grubu, şirketin pazarlık yapmayı reddetmesinin ardından Shell’in verilerini yayınladığını iddia etti.

Indiana merkezli bankacılık devi First Merchants Bank, MOVEit saldırılarından kaynaklanan bir veri ihlalini de doğruladı. Bilgisayar korsanları, adresler, Sosyal Güvenlik numaraları, çevrimiçi bankacılık kullanıcı adları ve finansal hesap bilgileri dahil olmak üzere hassas müşteri bilgilerine erişti. First Merchants Bank, çevrimiçi ve mobil bankacılık şifrelerinin ele geçirilmediğini açıkladı.

Aralarında Siemens Energy, Schneider Electric, Proskauer, City National Bank, Cambridgeshire County Council, Dublin Airport ve Madison College’ın da bulunduğu diğer bazı kuruluşlar da MOVEit ile ilgili veri ihlallerini doğruladı. Özellikle okullar çok etkilendi. Ulusal Öğrenci Takas Odası ve Amerika Öğretmenler Sigorta ve Yıllık Gelir Derneği güvenlik olaylarıyla karşı karşıya kaldı.

Rus Hackerlar Ukrayna Ajansının Facebook Sayfasını Devraldı

Saldırıya uğrayan bir Ukrayna devlet kurumu Facebook sayfası, Rus bilgisayar korsanlarının sayfaya yönetici erişimi sağlamasının ardından kısa bir süre için bir dezenformasyon kampanyası yürüttü. Bilgisayar korsanları, saldırının “Ukrayna Silahlı Kuvvetleri Genelkurmay Başkanlığı ile ekonomi, demografi, nüfus, istihdam ve işçi göçü alanlarında” diğer devlet kurumlarıyla iletişimi bozduğunu iddia etti.

Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi’ne göre, kesintinin “büyük ölçüde abartıldığını” söyleyen Ukrayna Devlet İstatistik Servisi’nin Facebook sayfasına erişim şimdi geri yüklendi ve bilgi altyapısı etkilenmedi.

Ukrayna Bilgisayar Acil Durum Müdahale Ekibine göre bilgisayar korsanlarının birincil amacı, sosyal medya hesabını hedeflemek değil, veri silen kötü amaçlı yazılımları dağıtmaktı. SSSCIP’e göre, bilgisayarlardan birinin hizmetin Facebook sayfasına erişim sağlamak için kullanıldığını söyleyen SSSCIP’e göre, bu girişim sırasında SSSU çalışanlarının birkaç iş bilgisayarı etkilendi. Ajans, bilgisayar korsanlarının bilgisayarları silmek yerine dezenformasyon yaymakla yetindiğini söyledi.

Ultimate Üye WordPress Eklentisi, Kullanıcılara Yönetici Ayrıcalıkları Veriyor

Bilgisayar korsanları, web sitelerini tehlikeye atmak için Ultimate Member adlı popüler WordPress eklentisindeki sıfır günlük ayrıcalık yükseltme güvenlik açığından yararlanıyor. CVE-2023-3460 olarak izlenen kusur, saldırganların güvenlik önlemlerini atlamasına ve hileli yönetici hesapları kaydetmesine olanak tanıyor. Güvenlik açığı, en son sürüm olan v2.6.6 da dahil olmak üzere eklentinin tüm sürümlerini etkiler. Geliştiriciler sorunu son sürümlerde çözmeye çalışsalar da, bilgisayar korsanları hala bu sorunu çözebilir ve aktif olarak tam bir düzeltme üzerinde çalışıyorlar.

Saldırılar, bir web sitesi güvenlik uzmanı olan Wordfence tarafından keşfedildi. Saldırganlar, rastgele kullanıcı meta değerleri ayarlamak için eklentinin kayıt formlarını manipüle ederek, özellikle de wp_capabilities yönetici ayrıcalıkları kazanmak ve böylece güvenliği ihlal edilmiş web sitesi üzerinde tam kontrol elde etmek için değer.

Bu güvenlik açığını kullanan, saldırıya uğramış bir WordPress sitesinin göstergeleri, aşağıdakiler gibi kullanıcı adlarına sahip yeni yönetici hesaplarının görünümünü içerir: wpenginer, wpadminsVe wpengine_backup. Erişim günlükleri, 146.70.189.245 ve 103.187.5.128 gibi IP adresleri dahil olmak üzere kayıt sayfasına erişen kötü niyetli IP’ler gösterebilir. Diğer işaretler, e-posta etki alanıyla ilişkili kullanıcı hesaplarının varlığını içerir. exelica.com ve yetkisiz WordPress eklentilerinin ve temalarının kurulumu.

Web sitesi sahiplerinden tetikte olmaları, eklentiyi kaldırmaları ve sitelerinin risk içermediğinden emin olmak için kapsamlı güvenlik kontrolleri yapmaları istenmektedir.

Geçen Haftanın Diğer Kapsamı

ISMG Küresel Haber Masası Baş Muhabiri Mihir Bagwe bu rapora katkıda bulunmuştur.