Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Olaylar ve İhlal Müdahalesi
Ayrıca: Phishing Kampanyasında Kullanılan QR Kodlar; Casusluk için Kullanılan Beyaz Rusya İSS’leri
Daha Fazla (AnvikshaDevamı) •
17 Ağustos 2023
Information Security Media Group, her hafta dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini özetliyor. Bu hafta, Raccoon Stealer geri döndü, bilgisayar korsanları QR kodlarını kullandı, Belarus ISP’leri diplomatları gözetlemek için kullanıldı, Geico bir MOVEit ihlali bildirdi, bir İsrail hastanesi fidye yazılımı gaspıyla uğraştı, Clorox bir saldırının ardından sistemleri çevrimdışı duruma getirdi ve araştırmacılar AudioCodes telefonlarında kusurlar buldu ve Zoom’un ZTP’si.
Raccoon Stealer Geri Dönüş Yapıyor
Popüler bir bilgi hırsızı kötü amaçlı yazılımı, önemli bir yöneticinin 2022’de tutuklanmasının ardından altı aylık hareketsizliğin ardından suç forumlarında yeniden kullanıma sunuldu. Raccoon Stealer’ın geleceği, Hollanda polisinin Ukrayna uyruklu Mark Sokolovsky’yi tutuklamasının ardından belirsizleşti. Teksas büyük jürisi tarafından iddianame. Amerika Birleşik Devletleri, İtalya ve Hollanda’daki kolluk kuvvetleri, bilgi hırsızının dijital altyapısını bozdu.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Raccoon Stealer operatörleri, “Yeni bir güçle ve hatalarımızı anlayarak geri döndüğümüz için mutluyuz,” dedi. “Bunca zaman boyunca ekibimiz, hırsızı kullanma deneyiminizi zenginleştirecek en son gelişmelerimizi size sunmak için yorulmadan çalışıyor.”
Siber güvenlik firması Cyberint, kötü amaçlı yazılımın en son sürümünü analiz etti ve Raccoon operatörlerinin yakın zamanda sunduğu özelliklerin kullanımı daha kolay, daha rahat ve daha basit hale getirdiğini söyledi.
Yeni bir hızlı arama aracı, kullanıcıların çalınan büyük veri kümelerindeki belirli bağlantıları bulmasına ve ihtiyaç duydukları bilgileri kolayca almasına olanak tanır. Diğer bir yeni özellik ise, Raccoon Stealer trafiğini tespit etmek için kullanılan botlara karşı artırılmış korumadır. Oturum açma kimlik bilgilerini, kredi kartı bilgilerini, kripto para cüzdanlarını ve tarayıcı bilgilerini hedefleyen bilgi hırsızının düzenli olarak güncelleme aldığı biliniyor.
Bilgisayar Korsanları Büyük ABD Enerji Firmasını Hedef Almak İçin QR Kodunu Kullanıyor
Siber güvenlik şirketi Cofense Çarşamba günü yayınladığı bir raporda, Mayıs ayında başlayan ve imalat, sigorta, teknoloji ve finansal hizmetler dahil olmak üzere çok çeşitli sektörleri hedefleyen bir kampanyayı ortaya çıkardı. Hedefler arasında, kötü amaçlı QR kodları içeren 1.000’den fazla kampanya e-postasının yaklaşık %29’unu alan “ABD merkezli büyük bir enerji şirketi” de vardı.
Cofense’de bir tehdit istihbarat analisti olan Nathaniel Raymond, “E-posta cazibesi, 2FA, MFA ve genel hesap güvenliğini çevreleyen hesap güvenliğinin güncellenmesi şeklinde geldi” dedi.
Ocak 2022’de FBI, siber suçluların kurban verilerini çalmak için QR kodu taramalarını kötü amaçlı sitelere yönlendirdiği, kurbanın cihazına erişim elde etmek için kötü amaçlı yazılım yerleştirdiği ve ödemeyi siber suçlu kullanımı için yönlendirdiği konusunda uyardı.
Bilgisayar korsanları, başlangıçta pazarlama amaçları için tasarlanmış olan Bing yönlendirme URL’lerini yeniden kullandı. Bu URL’lerin ikili işlevi vardır – yasal pazarlama amaçlıydılar, ancak bilgisayar korsanları tarafından kimlik avı kampanyasında kötü amaçlarla kullanıldılar.
Raymond, “Güvenilir etki alanlarını kötüye kullanmak, gizleme taktikleri kullanmak ve bir PNG veya PDF ekine gömülü QR kodlarının içindeki URL’leri gizlemekle birleştiğinde, e-postaların güvenliği atlayıp gelen kutularına girmesini sağlamaya yardımcı olur” dedi.
Bilgisayar korsanları Diplomatları gözetlemek için Beyaz Rusya’da İnternet Trafiğini Kesiyor
Eset’teki araştırmacılar tarafından MoustachedBouncer olarak adlandırılan bir siber casusluk grubu, yabancı diplomatları gözetlemek için Belarus internet servis sağlayıcılarına erişimi kullanıyor.
En az 2014’ten beri aktif olan grup, 2020’den beri Belarus ISP’lerinde ortadaki düşman taktiklerini uyguluyor. Eset, grubun Beyaz Rusya’nın çıkarlarıyla aynı çizgide olduğunu orta düzeyde bir güvenle değerlendiriyor ve MoustachedBouncer’ın Rus tasarımı bir sistem kullandığını düşük bir güvenle değerlendiriyor. SORM olarak bilinen tüm kullanıcı iletişimlerine uzaktan kontrol erişimi için. Uluslararası Af Örgütü’nün 2021’de bildirdiğine göre, kısaltması “Operatif Soruşturma Tedbirleri Sistemi” anlamına gelen sistem Belarus’ta faaliyet gösteriyor.
Saldırganlar, ekran görüntüsü alma ve ses kaydetme de dahil olmak üzere veri hırsızlığı için NightClub ve Disco olmak üzere iki farklı kötü amaçlı yazılım çerçevesi kullanıyor. Disco implantı, Windows 10 sistemlerini ISP düzeyinde kandırarak meşru bir esir portalının arkasında olduklarını varsaymaya dayanır. Saldırganlar, kötü amaçlı yazılım indirmeye yol açan sahte bir Windows Update sunar. Disco, komuta ve kontrol sunucusuna, ISP düzeyinde derin paket inceleme müdahalesi yoluyla da ulaşır.
Eski NightClub implantı, komut ve kontrol sunucusuna ulaşmak için e-posta protokollerini kullanır; bu, muhtemelen kullanıcıların hala Beyaz Rusya’dayken internet trafiğini şifrelemek için bir VPN dağıttığı durumlarda geçerlidir. Eset’in tespit ettiği kurbanlar arasında bir kuzeydoğu Afrika ülkesinden, bir Güney Asya ülkesinden ve bir Doğu Avrupa ülkesinden diplomatlar var.
“Ana çıkarım, internete güvenilemeyen yabancı ülkelerdeki kuruluşların, güvenilir bir konuma uçtan uca şifreli bir VPN tüneli kullanmaları gerektiğidir. Tümü herhangi bir ağ inceleme cihazını atlatmak için internet trafiklerini” yazdı.
Geico Muhtemelen MOVEit Hack’ine Yakalandı
Amerika Birleşik Devletleri’nin en büyük ikinci otomobil sigortacısı, çalışanları verileri üçüncü taraf satıcılara taşımak için MOVEit dosya aktarım yazılımı kullandığı konusunda uyarıyor. CISO Zhiwei Fu’dan çalışanlara gönderilen bir mektup, kredilerini dondurmalarını öneriyor. Fu, Geico’nun, Rusça konuşan bir hizmet olarak fidye yazılımı grubu olan Clop tarafından başlatılan Anma Günü hafta sonu yazılım korsanlığına hızlı tepki verdiğini söyledi. En son sayımda, saldırı 760 kuruluşu ve en az 46 milyon kişinin kişisel verilerini etkiledi.
Fu, Geico’nun “ortaklarımızla birlikte Geico’dan aldıkları herhangi bir verinin gizliliğinin ihlal edilip edilmediğini öğrenmek için” izlediğini söyledi. Bir şirket sözcüsü, Information Security Media Group’a hiçbir Geico müşterisinin hack’ten etkilenmediğini söyledi ve sigorta şirketinin sistemlerinin hacklenmediğini vurguladı.
İsrail Hastanesi, Fidye Yazılımına Yanıt Olarak Yeni Kabulleri Durdurdu
Tel Aviv yakınlarındaki Mayanei Hayeshua Tıp Merkezi, Salı günü kimliği belirsiz bir siber suç grubunun saldırısına uğradı. İsrail Hayom gazetesi Çarşamba günü, bilgisayar korsanlığı grubunun Başbakan Benjamin Netanyahu ve ultra-Ortodoks topluluğunun liderleri de dahil olmak üzere hassas tıbbi dosyaları ifşa etmekle tehdit ettiğini bildirdi.
The Jerusalem Post’un bildirdiğine göre, hastanenin idari bilgisayar sistemleri 8 Ağustos’ta gerçekleşen bir fidye yazılım saldırısında ele geçirildi ve bu durum, hastanenin ayakta tedavi gören yeni hastaları kabul etmeyi ve yeni acil durum hastalarını yakındaki hastanelere yönlendirmeyi durdurmasına neden oldu.
Clorox, Siber Saldırıya Yanıt Olarak Sistemleri Çevrimdışı Haline Getiriyor
Bleach üretim devi The Clorox Company, BT sistemlerinde olağandışı etkinlik tespit ettikten sonra belirli sistemleri çevrimdışı duruma getirdi. Salı günü yapılan bir güncellemede şirket, fabrikaların ve dağıtım merkezlerinin 13 Ağustos Pazar gününden önce verilen siparişleri yerine getirmek için iş sürekliliği planlarını etkinleştirdiğini söyledi.
Federal düzenleyicilere Pazartesi günü yapılan bir başvuruda şirket, “olayın Şirketin ticari operasyonlarının bazı kısımlarında aksamaya neden olduğunu ve aksamaya devam etmesinin beklendiğini” kabul etti. Kolluk kuvvetlerine bilgi verdiğini ve olayı araştırmak ve operasyonları eski haline getirmek için üçüncü taraf siber güvenlik uzmanlarıyla işbirliği yaptığını söyledi.
Zoom ZTP ve AudioCode Telefonlarındaki Kusurlar Bilgileri Açığa Çıkarıyor
Alman siber güvenlik şirketi SySS’deki araştırmacılar, kötü niyetli aktörler tarafından uzaktan saldırılar için kullanılabilecek AudioCodes telefonlarında ve Zoom’un Zero Touch Provisioning’deki güvenlik açıklarını ortaya çıkardı. Güvenlik araştırmacısı Moritz Abrell Cuma günü yayınlanan bir analizde, kusurların harici saldırganların cihazlar üzerinde tam kontrol sahibi olmasını sağlayarak potansiyel olarak aramaların dinlenmesine, kurumsal ağ ihlallerine ve hatta botnet’lerin oluşturulmasına yol açabileceğini söyledi.
Araştırmacılar, Zoom’un ZTP’sini kullanan İnternet Üzerinden Ses Protokolü cihazlarının, yapılandırma dosyalarını indirirken sunucunun gerçekliğini düzgün bir şekilde kontrol etmediğini, bunun da bir saldırganın kötü amaçlı bir sunucu kurmasına ve cihazları kandırarak zararlı veya kötü amaçlı ürün yazılımı indirmesine olanak sağladığını keşfetti.
Araştırmacılar ayrıca, AudioCode VoIP telefonlarında yetkisiz kişilerin şifreler veya yapılandırma dosyaları gibi aktarılan bilgilere müdahale etmesine ve bunlara erişmesine potansiyel olarak izin verebilecek kriptografik kimlik doğrulama kusurları buldu. Bu birleşik güvenlik açıkları, önemli güvenlik endişeleri ortaya çıkaran yaygın cihaz devralma için kullanılabilir.
Geçen Haftanın Diğer Kapsamı
ISMG’den Bengaluru’daki Prajeet Nair, Mumbai’deki Mihir Bagwe ve Washington, DC’deki David Perera’dan gelen raporlarla