Olay ve İhlale Müdahale, Güvenlik Operasyonları
Ayrıca: Androxgh0st Hakkında FBI Uyarısı; eBay Siber Takipten 3 Milyon Dolar Ceza Ödedi
Anviksha Daha Fazla (AnvikshaDevamı) •
18 Ocak 2024
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta Microsoft, AB vatandaşlarının verilerini yerel olarak saklama planlarını genişletti, nakliye temalı kimlik avı spam’i bir tehdittir, Britanya Kütüphanesi fidye yazılımındaki aksaklığın üstesinden geldi, FBI Androxgh0st kötü amaçlı yazılımına karşı uyardı, Remcos RAT Güney Kore’yi hedef aldı ve eBay 3 milyon dolar para cezasına çarptırıldı bir siber taciz kampanyası için.
Ayrıca bakınız: M-Trends 2023 Raporu: En Son Olay Müdahale Metrikleri ve Tehdit İstihbaratı Analitiği
Microsoft, AB Vatandaşlarının Verilerini Yerel Olarak Depolama Planlarını Genişletiyor
Microsoft, AB Veri Sınırı girişimini genişleterek, ticaret bloğu ülkelerinin “otomatik sistem günlükleri gibi tüm kişisel verileri” yerel veri merkezlerinde saklamasına izin vererek Avrupa gizlilik yasalarına uyma çabalarını yoğunlaştırıyor.
Geçtiğimiz yıl Microsoft, Avrupa müşteri verilerini Microsoft 365, Azure, Power Platform ve Dynamics 365’i kapsayan 15 AB merkezli veri merkezinde depolamaya başladı. En son gelişmede Microsoft, otomatik sistem günlükleri de dahil olmak üzere takma ad verilmiş kişisel verileri kapsayacak şekilde yerel depolama yeteneklerini genişletti.
Hareket, hassas Avrupalı vatandaşların verilerinin işlenmesiyle ilgili olarak Amerikan teknoloji şirketlerinin Avrupalı ajanslar tarafından yoğun şekilde incelendiği bir dönemde geldi. Meta, İrlanda veri düzenleyicisinden 1,2 milyar avroluk rekor bir para cezasıyla karşı karşıya kaldı ve bu, Avrupa’dan Amerika Birleşik Devletleri’ne veri transferlerinin askıya alınması emrine yol açtı (bkz: Facebook’a Avrupa’dan ABD’ye Veri Transferini Askıya Alma Emri)
Nakliye Temalı E-postalar Yıl Boyu Tehdittir
Araştırmacılar, nakliye temalı e-postaların, tatillerde yalnızca biraz artan kalıcı bir tehdit olduğunu söyledi. Cofense’in üç yıllık trend analizine göre, irsaliye, konşimento ve fatura gibi konuları kullanan kimlik avı saldırılarının hacmi genellikle Haziran, Ekim ve Kasım aylarında daha yüksek oluyor.
Kötü amaçlı nakliye temalı e-postalar genellikle Ajan Tesla Keylogger’lar gibi kötü amaçlı yazılımlar dağıtır. Cofense, kimlik avcılarının sıklıkla Microsoft Office’te CVE-2017-11882 olarak takip edilen ve Microsoft Office Bellek Bozulması Güvenlik Açığı olarak bilinen 2017 güvenlik açığından yararlandığını söyledi. Saldırganların rastgele kod çalıştırmasına olanak tanır.
Özellikle imalat sektörü, ekler ve bulaşma URL’leri aracılığıyla kötü amaçlı yazılım dağıtan bu tür e-postaların önemli bir akışıyla karşı karşıyadır. E-postalar çoğunlukla kötü amaçlı yazılım dağıtımına odaklanır ancak aynı zamanda kimlik avı da içerebilir.
İngiliz Kütüphanesi Hizmetlerini Geri Yüklemeye Başlıyor
Londra’daki Britanya Kütüphanesi, geçen Ekim ayında Rhysida çetesinin fidye yazılımı saldırısına maruz kaldıktan sonra çevrimiçi kataloğunun restorasyonuna başladı. Ulusal kuruma yapılan saldırı, saldırganların personelden ve kullanıcılardan çaldığı verileri satmaya çalışması nedeniyle çeşitli kütüphane hizmetlerinin kapatılmasına yol açtı. Nadir kitaplara, haritalara, dergilere ve müzik notalarına erişim için çevrimiçi katalog çok önemlidir.
Financial Times bu ayın başlarında, saldırıların telafi edilmesinin Britanya Kütüphanesi’ne rezervlerinin yaklaşık %40’ına mal olacağını bildirmişti. Kütüphane 600.000 poundluk fidye talebini ödemeyi reddetti. Financial Times’ın konuya aşina bir kişiye dayandırdığı haberine göre, dijital hizmetleri saldırı öncesi seviyesine döndürmenin maliyeti 7 milyon sterline kadar çıkacak.
Rhysida’nın kökenleri veya ülke bağlantıları hakkında çok az şey biliniyor, ancak hedef seçme şekli, eski Sovyet veya doğu bloğu ülkelerinde bulunan hedefleri hacklemekten kaçınan, Rusça konuşan fidye yazılımı gruplarıyla genel olarak örtüşüyor.
FBI, Androxgh0st Kötü Amaçlı Yazılımının Güçlü Botnet Oluşturduğu Konusunda Uyardı
FBI ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Androxgh0st kötü amaçlı yazılımının gelişen tehdidi hakkında ortak bir tavsiye niteliğinde uyarı yayınladı. Operatörleri aktif olarak .env Amazon Web Services ve Microsoft Office 365 için olanlar gibi yüksek profilli kimlik bilgileri içeren dosyalar. Kontrolleri altındaki bir botnet, Laravel web uygulaması çerçevesini kullanan web sitelerini arar ve etki alanı kök düzeyinde olup olmadığını görmek için tarama yapar. .env dosya çevrimiçi olarak gösterilmektedir. Androxgh0st saldırganları ayrıca Laravel uygulama anahtarını tanımlamak ve bunu siteler arası sahtecilik isteği belirteç çerezi için PHP kodunu şifrelemek amacıyla CVE-2018-15133’ten yararlanabilir. CVE-2018-15133, uzaktan kod yürütülmesine olanak tanıyan güvenli olmayan bir seri durumdan çıkarma saldırısına izin verir.
Androxgh0st operatörleri aynı zamanda CVE-2021-41773’e karşı savunmasız olan Apache sunucularını da tarar; bu, yöneticiler “isteklerin tümü reddedildi” yapılandırmasını ayarlamadığında ancak CGI komut dosyalarını etkinleştirdiğinde başarılı olan bir yol geçiş saldırısıdır.
Lacework’ün Aralık 2022 analizi, Androxgh0st’in güvenliği ihlal edilmiş e-posta hesaplarından spam göndermek için kullanıldığını ortaya çıkardı.
Hükümet tüm kimlik bilgilerinin kaldırılmasını tavsiye ediyor .env Dosyalar. Danışma belgesinde “Bulut sağlayıcılarının, bir web sunucusu içinde çalışan koda, bunları herhangi bir dosyada saklamadan geçici, sık sık döndürülen kimlik bilgileri sağlamanın daha güvenli yolları var” diyor.
Remcos RAT Güney Kore’yi Hedefliyor
AhnLab, Remcos uzaktan erişim Truva Atı’nın, popüler web tabanlı dosya depolama sistemi WebHard’ı kullanarak kendisini yetişkin temalı oyunlar olarak kamufle ederek ve kullanıcıları kötü amaçlı dosyalar indirmeye kandırarak Güney Kore’de ses getirdiğini söyledi.
Saldırganlar, daha önce njRAT ve UDP RAT ile ilişkilendirilen denenmiş ve doğrulanmış bir yöntemi kullanarak Remcos RAT’ı dağıtmak için WebHard’ı kullanıyor. Kurbanlar, istemeden kötü amaçlı Visual Basic komut dosyalarını çalıştıran bubi tuzaklı dosyaları başlatarak hilenin kurbanı oluyorlar ve adlı bir ara ikili dosyanın indirilmesini başlatıyorlar. ffmpeg.exe Tehdit aktörleri tarafından kontrol edilen bir sunucudan.
eBay, Siber Takip Kampanyası Nedeniyle 3 Milyon Dolar Ceza Ödeyecek
eBay, 2019’da aralarında yöneticilerin de bulunduğu bazı çalışanları tarafından düzenlenen ve Massachusetts’li bir çifti hedef alan siber taciz olayı nedeniyle 3 milyon dolar para cezası ödeyecek. Çift, bir haber bülteninde e-ticaret devini eleştirerek, aşağıdaki gibi dehşet verici öğeler içeren bir misilleme kampanyasına yol açmıştı: kanlı bir domuz maskesi, bir cenin domuzu ve bir cenaze çelengi.
ABD’nin Massachusetts Bölgesi Başsavcılığı, eBay’in eyaletler arası takip, elektronik iletişim takibi, tanık tahrifatı ve adaleti engelleme de dahil olmak üzere altı ağır suçu kabul ettiğini duyurdu. Şirket, eski Kıdemli Direktör Jim Baugh ve güvenlik ekibinden diğer altı kişinin, çiftin gözünü korkutarak haber bülteni içeriğini değiştirmelerini sağlamak için tacizi gerçekleştirdiklerini itiraf etti.
Çalışanlar aşırıya kaçarak kurbanların arabasına GPS takip cihazı yerleştirdiler, yanıltıcı Craigslist reklamları hazırladılar ve açık Twitter mesajları gönderdiler. Baugh, 2022 yılında 57 ay hapis cezasına çarptırılırken, diğer çalışanlar da çeşitli cezalarla karşı karşıya kaldı.
Geçen Haftanın Diğer Haberleri
Bilgi Güvenliği Medya Grubu’nun Brighton, Birleşik Krallık’taki Akshaya Ashokan ve Bengaluru, Hindistan’daki Prajeet Nair’den gelen raporlar ile.