Kenar cihazında dalgalanma sıfır gün istismarları

Siber suç, sahtekarlık yönetimi ve siber suç, olay ve ihlal yanıtı

Ayrıca, Baltimore devlet okulları veri ihlali yaşıyor, Disney Menü Hacker mahkum edildi

Anviksha More (Anvikshamore) •
1 Mayıs 2025

Her hafta, Bilgi Güvenliği Medya Grubu, dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. Bu hafta, sıfır gün istismarlarında bir artış, Veri ihlali ile vurulan Baltimore City devlet okulları, Cisa Broadcom brokar ve commvault kusurları ekledi, sahte wooCommerce Patch, akira tarafından vuruluyor, eski Disney çalışanları hacklemek için hapsedilen Hitachi Vantara, darcula phach ph hacül ekleniyor. Ayrıca, FBI 42.000 kimlik avı alanı yayınladı.

Ayrıca bakınız: Fidye Yazılımı ve Gasp Saldırılarını Azaltma Uzman Kılavuzu

Google, 2024’te 75 sömürülen sıfır günlük güvenlik açıklarını izlediğini ve% 44’ünün kurumsal teknolojileri hedeflediği – bir önceki yıla göre% 37’den yükselen bir yüzdeyi hedeflediğini söyledi.

Google, Salı günü bir raporda, “daha geniş ve daha çeşitli bir dizi satıcı setinin” proaktif güvenlik önlemlerinin artırılması gerektiği konusunda bir uyarı.

Kurumsal çözümlerdeki sıfır gün istismarlarının çoğu güvenlik ve ağ ürünlerideydi. Google, “Hedeflenen kurumsal ürünlerin çeşitliliği, 2024’te Ivanti Cloud Services Cihaz, Palo Alto Networks Pan-OS, Cisco Adaptive Güvenlik Cihazı ve Ivanti Connect Secure VPN dahil olmak üzere önemli hedeflerle güvenlik ve ağ ürünleri arasında genişlemeye devam ediyor.” Dedi.

Kenar cihazları ağlara değerli giriş noktalarıdır ve Çin siber boyama grupları da dahil olmak üzere devlet sponsorlu grupların odağı haline gelmiştir (bkz:: Sophos yarım on yıllık sürekli Çin saldırısını açıklıyor).

Siber temsilci operasyonları, 2024 yılında izlenen atfedilebilir istismarların yarısından fazlasını toplu olarak açıkladı. Yine de, Çinli hackerlar: ticari casus satıcılardan ziyade, en fazla sıfır gün istismarını açıkladı. Mali hırsızlık için de siber boyama kadar hacklenen Kuzey Kore ulus devlet grupları, Çin gruplarını sıfır gün istismarı toplamında eşleştirdi.

Yılı-yıldan yıla sömürülen sıfır gün sayısı dalgalanıyor, geçen yıl toplam sayı 2023’ün toplam 98’den bir düşüş. Ancak “ortalama eğilim çizgisi, sıfır gün sömürü oranının yavaş ama sabit bir hızda büyümeye devam ettiğini gösteriyor.”

Tarayıcıların ve mobil cihazların sömürülmesi azaldı, ancak mobil kullanıcıları hedefleyen saldırı zincirleri yaygın kaldı. Microsoft – 26 istismar – ve Google – 11 – gibi satıcılar en iyi hedeflerdi, ardından Ivanti, 7 istismar ile. Ardından kullanım, kod enjeksiyonu ve siteler arası komut dosyası gibi istismar türleri hakim olmaya devam etti.

Çarşamba günü İspanyol yetkililer Artem Stryzhak’ı Brooklyn Federal Mahkemesinde fidye yazılımı suçlamasıyla karşılaştı. 35 yaşındaki Stryzhak, Haziran 2024’te İspanya’da tutuklanan bir Ukraynalı ulusal, Nefilim fidye yazılımı için bir hizmet operasyonu olarak iddia edilen bir hackerdı. Ayrıca “Nephilim” i heceledi, grup Mart 2020’de ortaya çıktı. Görünüşe göre inaktif olmasına rağmen, Nefilim bu on yılın başlarında yüksek profilli kesti, cihazlara devasa girdaplara saldırdı ve eşleştirilmemiş Citrix ağ geçitlerine çarptı.

Savcılar, yoğun bir şekilde düzeltilmiş bir iddianame, Stryzhak’ın Haziran 2021’de Nefilim ile ilişkisine başladığını söyledi.

Citrix güvenlik açıklarından yararlanmanın yanı sıra Nefilim, Haziran 2021’de bildirdiğine göre, ilk erişim elde etmek için uzak masaüstü protokolü kullandı.

Savcılar Stryzhak’ın kefaletsiz tutulmasını istiyor. Savcılar, suçlu bulunursa, beş yıl hapis cezasıyla karşı karşıya olduğunu söyledi.

Baltimore City Devlet Okulları, Şubat ayında bir siber saldırının ardından on binlerce çalışanı, öğrenciye ve yüklenicilere veri ihlali konusunda bilgilendirdi. Saldırı, sosyal güvenlik numaralarını, ehliyet numaralarını ve öğrenci kayıtlarını ortaya çıkardı. İhlal, mevcut ve eski çalışanları, gönüllüleri, yüklenicileri ve kabaca 1.150 öğrenciyi etkiledi. Baltimore Sun, ihlalin 31.000 kişiyi etkilediğini bildirdi.

Okul bölgesi, ihlali doğrudan belirli bir siber suç grubuna bağlamamıştır. WBAL, saldırının 2022’nin sonlarından bu yana 130’dan fazla kurbanı hedefleyen Pelerin Fidye Yazılımı Grubundan geldiğini bildirdi.

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bilinen sömürülen güvenlik açıkları kataloğuna aktif sömürü altında iki yüksek şiddetli güvenlik açıkını ekledi. İzlenen bir kusur, CVE-2025-1976, Broadcom Brocade Fabric işletim sistemini etkiler ve yerel yönetici kullanıcılarının kök ayrıcalıklarıyla keyfi kod yürütmesine izin verir. 9.1.0 ila 9.1.1d6 sürümlerinde bulunan bu güvenlik açığı 9.1.1d7 sürümünde sabitlenmiştir. İzlenen diğer kusur, CVE-2025-3928, CommVault Web sunucusunu etkiler ve kimlik doğrulamalı uzak saldırganların web kabukları oluşturmasını ve yürütmesini sağlar.

Ölçek veya bu saldırıların arkasındaki aktörler hakkında hiçbir kamu detayı mevcut değildir. CISA, federal ajanslara 17 Mayıs’a kadar Commvault ve 19 Mayıs’a kadar Broadcom için yamalar uygulamalarını söyledi.

WordPress güvenlik firması PatchTack, WooCommerce kullanıcılarını bir arka kapı yükleyen sahte bir “kritik yama” iten sahte güvenlik uyarılarıyla hedefleyen büyük ölçekli bir kimlik avı kampanyasını ortaya çıkardı. Araştırmacılar, kampanyanın benzer bir Aralık 2023 saldırısına çok benzediğini ve bunun aynı tehdit oyuncusu veya taklitçi olduğunu gösterdiğini söyledi.

Mağdurlar kimlik avı e -postaları alır sahte “kimlik doğrulanmamış idari erişim” güvenlik açığı uyarısı ve sahte bir wooocommerce’den bir yama indirmeye çağırılır, woocommėrce.com. İndirilen bir ZIP dosyası meşru bir eklenti taklit eder, ancak yüklendiğinde gizli bir yönetici kullanıcısı oluşturur ve birden fazla saldırgan kontrollü sunucuya bağlanır.

Kötü niyetli eklenti, Pas-Fork, P0WNY ve WSO gibi web kabuklarını içeren ikinci aşamalı bir yük getirerek saldırganlara uzaktan erişim sağlar. Kötü amaçlı yazılım kendisini eklenti listelerinden gizler ve sunucu dosyalarını şifreleyerek spam enjekte etmek, DDOS saldırılarını başlatmak, ziyaretçileri yeniden yönlendirmek veya kurbanları yeniden yönlendirmek için kullanılabilir.

Japon çokuluslu haberlerin IT kolu Hitachi Vantara, Hitachi’nin hafta sonu fidye yazılımı saldırısı yaşadığını ve sunucularının çevrimdışı olduğunu bildirdi. Akira fidye yazılımı çetesi, devletle ilgili projeler de dahil olmak üzere verileri ortaya çıkardığı iddia edilen sorumluluk iddia etti. T-Mobile, BMW ve China Telecom gibi müşterilere hizmet veren Hitachi Vantara, dış siber güvenlik uzmanlarıyla ihlali araştırıyor. Kendi kendine barındırılan müşteri ortamları etkilenmez.

Eski bir Disney çalışanı, şirketin iç sunucularına hacklemek ve alerjen ayrıntılarını tahrif etmek ve küfür koymak da dahil olmak üzere restoran menüleri ile kurcalama için üç yıl hapis cezası aldı.

Eski bir menü prodüksiyon müdürü Michael Scheuer, bilgisayar sahtekarlığından suçlu bulundu ve kimlik hırsızlığını ağırlaştırdı ve geri ödeme için yaklaşık 690.000 dolar ödemesi emredildi. Haziran 2023’te kovulduktan sonra Scheuer, Disney’in güvenli sistemlerine birçok kez erişti, yazı tiplerini kanat işlerine değiştirdi, menü platformunu çökertti ve fıstık içeren öğeleri fıstıksız olarak yanlış bir şekilde etiketledi. Ayrıca çalışanları kilitleyerek ve 100.000’den fazla giriş yapmak için bir bot kullanarak operasyonları bozdu. DOJ’a göre, bazı hacklenen menüler şarap bölgelerindeki kitlesel çekim yerlerine referanslar içeriyordu. Disney dağıtımdan önce değiştirilmiş menüleri kaldırdı.

Netcraft, Darcula Hizmet Olarak Kimlik Avı Platformu, siber suçluların kodlama becerileri olmadan özelleştirilmiş, çok dilli kimlik avı sayfaları oluşturmasını sağlayan üretken AI özellikleri tanıttı.

Başlangıçta Mart 2024 raporunda belgelenen Darcula, genellikle posta hizmetlerini taklit eden smishing dolandırıcılık sunmak için iMessage ve RC’leri kullanıyor. Platform, tehdit oyuncusu Larva-246’ya bağlandı ve kimlik avı için meşru web sitelerinin klonları olan Telegram kanalı “Darcula_Channel” aracılığıyla tanıtıldı.

Lucid ve Deniz Feneri gibi diğer Phaas kitleriyle özellikleri paylaşıyor, hepsi Çin’den faaliyet gösterdiğine inanılan Smishing Triad adlı daha geniş bir ekosistemin bir parçası (bkz: bkz: Lucid Phaas platformu tarafından yakıtlı smacada dalgalanma).

FBI, halka açık olan 42.000 alandan oluşan bir liste haline getirdi. Uluslararası bir kolluk kuvveti, Nisan 2024’te 37’yi tutuklayarak ve altyapıyı ele geçirerek siteyi devirdi (bakınız: Breach Roundup: Labhost Hizmet Olarak Kimlik Yardım Sitesi Düşüyor).

FBI, polisin bir milyondan fazla çalıntı kullanıcı kimlik bilgileri ve yaklaşık 500.000 tehlikeye atılan kredi kartı bulduğunu söyledi. Alanlar “doğada tarihsel” olmasına rağmen, retrospektif analiz yoluyla savunuculara yardımcı olabilirler. “FBI, ağları içindeki bu uzlaşma göstergeleri ile ilgili herhangi bir faaliyeti tanımlayan kuruluşlara etkiyi azaltmak veya en aza indirmek ve çevresini olay tepkisi için hazırlamak için önermektedir.”

Geçen haftadan diğer hikayeler

Kuzey Virginia’daki Information Güvenlik Medya Grubu’nun David Perera’dan raporlar.