Ünlü Medusa fidye yazılımı grubu, Fortinet’in FortiClient EMS yazılımındaki kritik bir güvenlik açığını kullanarak karmaşık fidye yazılımı saldırıları başlattı.
CVE-2023-48788 olarak izlenen SQL enjeksiyon açığı, saldırganların güvenlik açığı bulunan sistemlerde kötü amaçlı kod yürütmesine ve fidye yazılımı dağıtmak için bir dayanak noktası elde etmesine olanak tanıyor.
Bitdefender, “Medusa, Fortinet EMS SQL enjeksiyonu güvenlik açığı gibi bilinen bir zayıflık aracılığıyla hedef sisteme erişim sağlıyor. CVE-2023-48788, uç noktaları yönetmek için FortiClient EMS, 7.2 ila 7.2.2 ve 7.0.1 ila 7.0.10 sürümlerinin kurulu olduğu ortamları etkiliyor” dedi.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Sağlık, imalat ve eğitim gibi çok çeşitli sektörleri hedef alan Medusa, Fortinet’teki güvenlik açığından yararlanmakta gecikmedi.
Grup, SQL ifadeleri içeren kötü amaçlı web istekleri göndererek istek başlıklarındaki FCTUID parametresini manipüle ediyor ve Microsoft SQL Server’daki xp_cmdshell fonksiyonu aracılığıyla keyfi komutları yürütmelerini sağlıyor.
İlk erişim sağlandığında Medusa, veri sızdırma ve yük teslimatını kolaylaştırmak için tehlikeye atılan sunucuda bir web kabuğu oluşturur. Bitdefender, grubun kötü amaçlı dosyaları aktarmak ve kurban sistemlerde kalıcılık sağlamak için bitsadmin gibi araçlar kullandığını söyledi.
Medusa’nın saldırı zinciri, grubun özellikle yürütme ve savunma kaçınma alanlarındaki gelişmiş yeteneklerini sergiliyor. Medusa, bir dayanak noktası elde ettikten sonra komutları çalıştırmak, verileri sızdırmak ve fidye yazılımı yükünü yürütmek için PowerShell betiklerinden yararlanıyor. Grubun gaze.exe olarak bilinen kötü amaçlı yazılımı, çeşitli hizmetleri öldürüyor ve veri sızdırma için Tor bağlantılarını referans alan dosyaları yüklüyor.
Algılanmayı önlemek için Medusa, ConnectWise ve AnyDesk gibi meşru uzaktan izleme ve yönetim (RMM) araçlarının tehlikeye atılmış sürümlerini yükler. Bu kurcalanmış RMM araçları, kurbanın ortamındaki güvenilir durumları nedeniyle genellikle fark edilmez.
Kuruluşlar Medusa’nın fidye yazılımı saldırılarına karşı savunmak için çok katmanlı bir yaklaşım benimseyebilir. Fortinet açığı gibi güvenlik açıklarını derhal gidermek için sağlam yama yönetimi uygulamalarının uygulanması hayati önem taşır.
Ağ segmentasyonu, düzenli yedeklemeler ve çalışanların güvenlik farkındalık eğitimleri de kapsamlı bir savunma stratejisinin olmazsa olmaz bileşenleridir.
Medusa tekniklerini geliştirmeye ve iyileştirmeye devam ederken, işletmelerin siber güvenlik çabalarında dikkatli ve proaktif olmaları zorunludur.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin