Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale
Ayrıca: Alman Savcılar Üç Sabotajcı İddiasıyla Suçluyor
Anviksha Daha Fazla (AnvikshaDevamı) •
2 Ocak 2025
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta MetLife, RansomHub siber saldırı iddiasını reddetti, RI Sağlık Sistemi siber saldırı güncellemesi, npm paketi dağıtılan Quasar RAT, Almanya üç kişiyi Rusya için casuslukla suçladı, Kuzey Kore’nin bulaşıcı röportaj kampanyası yeni kötü amaçlı yazılım kullandı.
Ayrıca bakınız: Canlı Web Semineri | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
MetLife, RansomHub’un Latin Amerika Siber Saldırısı İddiasını Reddetti
Siber suç grubu RansomHub, Salı günü MetLife’ın Latin Amerika’daki operasyonlarının ihlalinin sorumluluğunu üstlendi. MetLife Çarşamba günü, temel sistemleri üzerinde herhangi bir etki olmadığını belirterek iddiaları reddetti. Şirket, yalnızca Ekvador’da faaliyet gösteren bir yan kuruluş olan Fondo Genesis’in dahil olduğu ayrı bir siber olayı kabul etti ancak olayın daha geniş MetLife altyapısıyla ilgisi olmadığını vurguladı.
RI Sağlık Sistemi Siber Saldırısı: Dosyalar Darkweb’de Yayınlandı
Fidye yazılımı grubu Brain Cipher, Medicaid, SNAP ve HealthSource RI gibi kritik programları denetleyen Rhode Island’ın RIBridges sisteminin ihlalinin sorumluluğunu üstlendi. Eyalet Valisi Dan McKee, Sosyal Güvenlik ve banka hesap numaraları da dahil olmak üzere yaklaşık 650.000 kişinin kişisel verilerinin çalındığını doğruladı. Bilgisayar korsanları, o zamandan beri darkweb’de yayınlanan dosyaları yayınlamadan önce fidye için bir son tarih belirlediler (bkz: ABD’nin En Küçük Eyaletindeki Veri Hırsızlığı Saldırısından Binlerce Kişi Etkilendi).
McKee, RIBridges’e dayalı programlardan sağlanan faydalarda herhangi bir kesinti yaşanmayacağını söyledi. Sistem 13 Aralık’tan bu yana çevrimdışı ancak eyalet, RIBridges’i Ocak ortasına kadar tekrar çevrimiçi hale getirmeyi planlıyor. HealthSource RI açık kayıt süresini Şubat ayına kadar uzattı.
Kötü Amaçlı npm Paketi, Geliştirici Sistemlerine Quasar RAT Dağıtıyor
Siber güvenlik araştırmacıları, Ethereum akıllı sözleşmelerindeki güvenlik açıklarını tespit etmek için bir araç kılığına giren kötü niyetli bir npm paketi olan ethereumvulncontracthandler’ı tespit etti. Geçen ay “solidit-dev-416” tarafından yayınlanan paket, Quasar uzaktan erişim truva atını dağıtıyor.
Paket, uzak bir sunucudan kötü amaçlı yazılımları alıp çalıştırarak oldukça karmaşık bir komut dosyası yürütür. Çoklu kodlama katmanları ve korumalı alan kontrolleri aracılığıyla tespit edilmesini önler. Kötü amaçlı yazılım, kalıcılık sağlamak için Windows kayıt defterini değiştirir ve hassas verileri sızdırmak ve komutları yürütmek için bir komut ve kontrol sunucusuyla iletişim kurar.
İlk olarak 2014 yılında tespit edilen Quasar RAT’ın siber suçlarda ve casuslukta kullanım geçmişi bulunuyor. Saldırganlar bunu virüslü cihazları yönetmek, sistemleri izlemek ve ek yükler dağıtmak için kullanır.
Alman Savcılar Üçlüyü Rusya Adına Casusluk ve Sabotajla Suçluyor
Alman savcılar üç Rus-Alman uyrukluyu Rusya adına casusluk ve sabotaj faaliyetleriyle suçladı. Savcılar, kimliği sadece Dieter S. olarak tanımlanan bir kişinin, bir Rus gizli servis bağlantısıyla iletişim kurduğunu ve Ukrayna’yı destekleyen Alman askeri altyapısını hedef alan sabotaj planladığını iddia ediyor. Onun, Bavyera’daki ABD askeri tesisleri de dahil olmak üzere yerleri araştırdığı, istihbarat topladığı ve askeri mal taşıyan demiryollarına kundakçılık ve patlayıcı saldırılar önerdiği bildirildi.
Diğer iki kişinin, Alexander J. ve Alex D.’nin en geç Mart 2024’ten itibaren planlama aşamasına katıldığı iddia ediliyor. Hedefleri arasında bir yükleme istasyonu, bir alet üreticisi ve ABD askeri operasyonları yer alıyordu.
Kuzey Kore’nin Bulaşıcı Röportaj Kampanyası Yeni Kötü Amaçlı Yazılım Yayıyor
Siber güvenlik şirketi NTT Security Holdings, Bulaşıcı Röportaj kampanyasının arkasındaki Kuzey Koreli bilgisayar korsanlarının saldırılarını geliştirmek için artık OtterCookie adlı bir JavaScript kötü amaçlı yazılımını kullandığını söyledi. İşe alım uzmanı kılığına giren grup, iş arayanları görüşme aracı görünümündeki kötü amaçlı yazılımları indirmeye, video konferans uygulamaları ve npm paketleri aracılığıyla BeaverTail ve InvisibleFerret gibi tehditleri dağıtmaya teşvik ediyor.
İlk olarak Eylül 2024’te tespit edilen OtterCookie, komut ve kontrol sunucularıyla iletişim kuruyor ve dosyaları, pano içeriğini ve kripto para birimi cüzdan anahtarlarını çalmak için kabuk komutlarını çalıştırıyor. Güncellemeler, kampanyanın gelişimini ve etkinliğini gösteren daha fazla gelişmişlik gösteriyor.
Ayrı bir gelişmede, Güney Kore, Kuzey Kore’nin nükleer ve füze geliştirmeyi finanse eden BT işçi programlarıyla bağlantılı 15 kişiye ve bir kuruluşa yaptırım uyguladı. Bu operasyonlar, Kuzey Koreli personeli küresel olarak konuşlandırıyor, serbest ve kurumsal rolleri hedef alıyor ve gelir rejime geri aktarılıyor.