Siber suç , Hizmet olarak siber suç , Dolandırıcılık Yönetimi ve Siber Suç
Ayrıca: Çin Siber Casusluğu, Defiant Cleveland ve İspanyol Fidye Yazılımı Saldırısı
Anviksha Daha Fazla (AnvikshaDevamı) •
20 Haziran 2024
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta ONNX Microsoft 365’i hedef aldı, Symantec Çin casusluğunu tespit etti, AMD ihlal edilmiş olabilir, Cleveland bilgisayar korsanlarına meydan okuma sözü verdi, Black Basta bir İspanyol firmasını vurdu, Pakistanlı bilgisayar korsanları Hindistan’ı hedef aldı, Microsoft Azure’daki kusurları düzelttiğini, ABD ve Endonezya’yı söyledi siber güvenlik tatbikatı düzenledi.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
PhaaS Platformu ONNX, Microsoft 365’i Hedefliyor
ONNX Store adı verilen yeni bir hizmet olarak kimlik avı platformu, PDF eklerine yerleştirilmiş QR kodlarını kullanarak finans sektöründeki Microsoft 365 hesaplarını hedefliyor. ONNX muhtemelen Kafein kimlik avı kitinin yeniden markalanmış bir versiyonudur. Telegram botları aracılığıyla çalışır ve iki faktörlü kimlik doğrulama atlama mekanizmalarını içerir.
EclecticIQ’daki araştırmacılar, maaş güncellemeleri gibi tuzaklarla İK departmanlarını taklit eden kimlik avı e-postaları dağıtarak Şubat 2024’te faaliyete geçen ONNX’i keşfetti. Kötü amaçlı e-postalar taklit edilmiş Microsoft 365 oturum açma arayüzleri içeriyor. Saldırganlar, hesabın ele geçirilmesini sağlamak için giriş bilgilerini ve 2FA tokenlarını gerçek zamanlı olarak ele geçirdi.
ONNX’in güçlü özellikleri onu siber suçlular için çekici bir araç haline getiriyor. Özelleştirilebilir kimlik avı şablonları, tespitten kaçınmak için şifrelenmiş JavaScript ve etki alanı koruması için Cloudflare hizmetleri sunar. Operasyonlar, botlar ve özel destek kanallarıyla Telegram aracılığıyla yönetiliyor. ONNX, ayda 150 ila 400 ABD Doları arasında değişen dört abonelik katmanı sağlar ve her katman, 2FA çerez çalma ve özel yönlendirme bağlantıları dahil olmak üzere çeşitli kimlik avı işlevleri sunar.
Çin Casusluk Grupları Telekomünikasyon Şirketlerini Hedef Alıyor
Symantec’in Tehdit Avcısı Ekibi tarafından hazırlanan bir rapora göre, Çin casusluk gruplarıyla ilişkili araçların kullanıldığı sürekli bir kampanya, tek bir Asya ülkesindeki birden fazla telekom operatörünü hedef aldı. Saldırılar 2021 veya 2020’de başladı. Saldırılar, hedeflenen şirketlerin ağlarına sızmak ve kimlik bilgilerini çalmak için özel kötü amaçlı yazılımların ve taktiklerin kullanılmasını içeriyor.
Saldırganlar, hepsi Çinli casusluk aktörleriyle bağlantılı olan Fireant, Needleminer ve Firefly gruplarıyla ilişkili arka kapılar da dahil olmak üzere çeşitli araçlar kullandı. Bilgisayar korsanları, tuş vuruşlarını kaydetmek, dosyaları okumak ve silmek ve komut ve kontrol sunucularıyla iletişim kurmak için Coolclient, Quickheal ve Rainyday gibi arka kapıları kullandı.
Kampanya aynı zamanda bağlantı noktası taramayı, kayıt defteri kovanı boşaltma yoluyla kimlik bilgileri hırsızlığını ve DNS ve NetBIOS hizmetlerini zehirlemek için Responder gibi araçların kullanımını da içeriyordu. Saldırganlar telekom sektörü hakkında istihbarat topluyor, kulak misafiri oluyor veya hedef ülkedeki kritik altyapıya karşı yıkıcı bir yetenek geliştiriyor olabilir.
Symantec, belirli kötü amaçlı yazılım çeşitleri ve saldırganlar tarafından kullanılan IP adresleri de dahil olmak üzere, kampanyayla ilgili çeşitli güvenlik ihlali göstergeleri tespit etti.
AMD, İddia Edilen Veri İhlalini Araştırıyor
Çip devi AMD, çevrimiçi suç forumu BreachForums’ta şirketten çalındığı iddia edilen hassas verileri sattığını duyuran hacker IntelBroker’ın iddialarını araştırıyor. Veriler muhtemelen Haziran 2024’te üçüncü taraf bir barındırma sağlayıcısından elde edilen gelecekteki ürünler, çalışan ve müşteri veritabanları, kaynak kodu ve mali belgeler hakkındaki bilgileri içermektedir.
Cleveland Fidye Yazılımı Şantajcılarına Karşı Durma Sözü Verdi
Yerel ABC haber kaynağı Channel 5’in haberine göre Cleveland şehri, bu ayın başlarında şehir sistemlerine saldıran siber suçluların talep ettiği fidyeyi ödemeyecek. Saldırı, 911, çöp toplama ve belediye mahkeme sistemi de dahil olmak üzere şehrin bir dizi işlevini etkilemedi. (Görmek: Cleveland Siber Olayı Şehir BT Sistemlerinin Kapatılmasına Neden Oldu). Bir şehir sözcüsü Kanal 5’e Vergi Dairesi, kamu hizmetleri ve havalimanlarının “farklı bir ağ ve alana bölündüğünü” ve saldırıdan etkilenmemiş gibi göründüğünü söyledi. Belediye Binası yaklaşık iki hafta boyunca halka kapalı ancak Perşembe günü “seçili operasyonlarla” yeniden açılacak.
İspanyol Savunma Şirketi Veri İhlalinden Acı Çekiyor
İspanyol mühendislik ve teknoloji firması Amper Group, bu ayın başlarında Black Basta grubu tarafından düzenlenen bir siber saldırının kurbanı oldu. Europa Press’in haberine göre, hizmet olarak fidye yazılımı ekibi, gizli proje ayrıntıları ve çalışanların kişisel bilgileri de dahil olmak üzere 650 gigabaytlık hassas veriyi çaldı. Firma savunma, güvenlik, enerji ve telekomünikasyon gibi sektörlerde faaliyet göstermektedir.
HackManac’ın raporlarına ve şirket içi kaynakların onayına göre olay 6 Haziran’da bir kimlik avı e-postasıyla başladı. Bir şirket sözcüsü Europa Press’e şifrelenmiş sunucuların “kritik olmadığını”, yedeklemelerin mevcut olduğunu ve bilgisayar korsanlarının herhangi bir kritik sistemi etkilemeyi başaramadığını söyledi.
Pakistanlı APT, Hindistan Hükümetini Hedef Almak İçin Eski Linux Hatasını Kullanıyor
Volexity’ye göre, Pakistan’dan gelen ve UTA0137 olarak takip edilen gelişmiş bir kalıcı tehdit, Hindistan hükümet kuruluşlarına karşı siber casusluk gerçekleştirmek için eski bir Linux güvenlik açığını ve “Disgomoji” adı verilen yenilikçi Discord tabanlı kötü amaçlı yazılımı kullanıyor. UTA0137, CVE-2022-0847 olarak takip edilen “Dirty Pipe” Linux çekirdek hatasını kullanıyor. Kusur, yetkisiz kullanıcıların kök ayrıcalıkları kazanmasına olanak tanır. Bu güvenlik açığı, iki yıl önce duyurulmasına rağmen hala yaygın olarak kullanılan Hint Linux dağıtımı “BOSS”u etkiliyor.
Disgomoji, komutlar için emojileri kullanıyor ve Discord kanalları aracılığıyla enfeksiyonları yönetiyor. Saldırganlara sistem bilgilerini gönderiyor, “cron” zamanlayıcı aracılığıyla kalıcılık sağlıyor ve bağlı USB aygıtlarından veri çalabiliyor. Komutlar, ekran görüntüleri için bir kamera emojisi ve dosyaları dışarı çıkarmak için bir ateş emojisi içerir.
SSRF Kusurlarının Keşfedilmesinden Sonra Düzeltilen 4 Azure Hizmeti
Microsoft, Mayıs ayında siber güvenlik firmaları Wiz ve Tenable tarafından keşfedilen Azure Machine Learning hizmetindeki sunucu tarafı talep sahteciliği güvenlik açıklarını ele aldığını söyledi. “Bu güvenlik açıkları, potansiyel olarak dahili IP’ler de dahil olmak üzere bir HTTP istemcisinin yetkisiz isteklerine izin vermiş olabilir. Bu dahili IP’ler, AML’nin dahili Kubernetes altyapısına erişebilir ve AML hizmet operasyonlarını bozmak için kullanılabilecek ağ ve kapsül bilgileri gibi arka uç meta verilerini açığa çıkarabilir. ” dedi Microsoft.
ABD ve Endonezya Siber Güvenlik Tatbikatı Yapıyor
Amerika Birleşik Devletleri ve Endonezya, 10 Haziran’dan 13 Haziran’a kadar Endonezya’nın Surabaya kentinde liman odaklı bir siber güvenlik masa üstü tatbikatı düzenledi. İki ülke için bir ilk olan tatbikat, denizcilik altyapısına yönelik siber olayları ve fidye yazılımı saldırılarını simüle etti ve dayanıklılığı ve müdahale planlarını iyileştirmeyi amaçladı. ABD İç Güvenlik Bakanlığı liderliğindeki etkinliğe Endonezya hükümetinden ve özel sektörden katılımcılar katıldı. Tatbikat, devam eden ABD-Endonezya güvenlik işbirliğinin bir parçası. Çin yapımı vinçler ve limanlara yönelik siber tehditlere ilişkin endişeler, dikkat edilmesi gereken devam eden sorunlar olarak vurgulandı.
Geçen Haftanın Diğer Haberleri
Bilgi Güvenliği Medya Grubu’ndan Washington DC’deki David Perera’nın raporuyla