2022’deki sıfır gün saldırılarıyla ilişkili verilerin analizi, tehdit aktörlerinin VPN’ler, güvenlik duvarları ve BT yönetim ürünleri dahil olmak üzere uç altyapı teknolojilerindeki güvenlik zayıflıklarını giderek daha fazla araştırdığını gösteriyor.
Mandiant’tan araştırmacılar, geçen yıl çeşitli kötü amaçlı kampanyalarda düşmanların yararlandığı toplam 55 sıfır gün güvenlik açığını izledi ve bunlardan 10’unun İnternet’e bakan bir uç cihazla ilgili olduğunu buldu.
Bunların arasında Sophos güvenlik duvarlarında CVE-2022-1040 ve CVE-2022-3236, Cisco IOS’ta CVE-2022-20821, Fortinet’s FortiOS’ta CVE-2022-42474 ve CVE-2022-41226, Zoho ManageEngine’de CVE-2022-288810 vardı. ve SolarWinds Serv-u’da CVE-2022-35247.
Sınırda Avcılık
Google Cloud’da Mandiant kıdemli analisti Casey Charrier, rakiplerin büyük olasılıkla kurumsal kuruluşların uç nokta algılama ve yanıt (EDR) konusunda ağ izleme konusunda sahip olduklarından daha az yeteneğe sahip olduğunu düşündükleri için uç teknolojilere odaklandıklarını söylüyor.
Charrier, “Bu kesinlikle değerlendirdiğimiz bir unsur, şu anda Çinli tehdit gruplarının odak noktası,” diyor. “Daha fazla kuruluş Nesnelerin İnterneti (IoT) cihazlarını ortamlarına entegre ettikçe, güvenlik araçlarını ve bu cihazların güvenliğini değerlendirirken bunu dikkate almaları gerekecek.”
Mandiant’ın rakiplerinin 2022’de kullandığını gözlemlediği 55 sıfır gün, araştırmacılarının 2021’de gözlemlediği tüm zamanların en yüksek seviyesi olan 81’den daha az. Buna rağmen bu sayı, Mandiant’ın 2021’de istismar edildiğini gözlemlediği 20 sıfır günden yaklaşık üç kat fazlaydı. 2020.
Çinli Aktörler, Sıfır Günlerin En Aktif İstismarcıları Olmaya Devam Ediyor
Bir süredir olduğu gibi, Çin devlet destekli tehdit grupları 2022’de sıfır-günden diğer tüm tehdit gruplarından daha fazla yararlandı. Mandiant’ın büyük ihtimalle devlet destekli bir grup tarafından istismar edildiğini tespit edebildiği 13 sıfır günden yedisi – ya da yarısından fazlası – bir Çinli gelişmiş kalıcı tehdit (APT) grubunu içeriyordu.
Bir örnek, bir kullanıcı makroları devre dışı bırakmış olsa bile kötü amaçlı Office belgeleri aracılığıyla uzaktan kod yürütülmesine (RCE) olanak tanıyan Microsoft Windows Destek Tanı Aracı’ndaki bir güvenlik açığı olan CVE-2022-30190’dır. Çinli tehdit aktörleri, yıl boyunca çok sayıda tehdit kampanyasında “Follina” olarak da anılan güvenlik açığını kullandı ve bu, onu 2022’nin en yoğun şekilde istismar edilen açıklarından biri haline getirdi.
Çin devlet aktörlerinin geçen yılki saldırılarda yararlandığı sıfır-günlerin birçoğu ağ cihazlarını hedef aldı. Çin merkezli bir aktörün geçen yıl bir kampanyada Fortinet’in FortiGate güvenlik duvarlarından yararlanmak için son derece özelleştirilmiş bir araç sunmak için kullandığı FortiOS SSL VPN teknolojisindeki bir arabellek taşması kusuru olan CVE-2022-42475 buna bir örnektir. Çinli bir aktörün kötüye kullandığı bu kategorideki bir diğer kusur, FortiOS’ta bir yol geçişi güvenlik açığı olan CVE-2022-41328’dir. Mandiant, UNC3886 olarak tanımlanan Çinli bir grubun potansiyel bir siber casusluk kampanyasında güvenlik açığından yararlandığını gözlemledi. Aynı aktör daha önce, kötü niyetli vSphere Kurulum Paketleri ile yeni bir teknik kullanan VMware ESXi hipervizörlerini hedef alan bir saldırı kampanyasıyla ilişkilendirilmişti.
Mandiant ayrıca, Kuzey Koreli tehdit aktörlerinin dahil olduğu sıfır gün istismar faaliyetinin önceki yıllara kıyasla 2022’de hafifçe arttığını gözlemlediğini söyledi. Mandiant’ın Kuzey Koreli aktörlerin istismar ettiğini belirlediği iki sıfır gün şunlardı: CVE-2022-0609, Kuzey Koreli bir grubun yüksek teknoloji, medya ve finans sektörlerini hedefleyen bir kampanyada istismar ettiği bir Google Chrome güvenlik açığı ve CVE-2022-41128 , Windows Server’da Kuzey Kore’nin APT37’sinin bir kimlik avı kampanyasında istismar ettiği bir RCE.
Finansal Motivasyona Sahip Siber Saldırganlar da Harekete Geçmek İstiyor
Mali motivasyona sahip tehdit aktörleri, 2021’deki kadar olmasa da, geçen yıl sıfır gün güvenlik açıklarından aktif olarak yararlanan başka bir düşman grubu olmaya devam etti. Mandiant’ın bir gerekçe atfedebildiği 16 sıfır günden dördü kullanıldı. mali amaçlı saldırılarda. Bu saldırıların çoğu, fidye yazılımı dağıtımlarını içeriyordu. Örnekler arasında, bir tehdit aktörünün Lorenz fidye yazılımını dağıtmak için kullandığı bir Mitel VoIP cihazındaki bir RCE kusuru olan CVE-2022-29499 ve Magniber fidye yazılımı operatörünün bir kampanya.
Charrier, 2019’dan beri fidye yazılımı gruplarını içeren sıfırıncı gün istismar faaliyetinin arttığını söylüyor. Charrier, “Bu, çeşitli nedenlerden dolayı böyledir” diyor. “Birincisi, fidye yazılımı, tüm finansal amaçlı faaliyetlerin bir oranı olarak, büyümeye ve suç ekosistemini ele geçirmeye devam etti. İkincisi, parayı izlemenin yanı sıra her türlü kurban ödemesini izleme açısından daha karmaşık olabilir.”
Microsoft, Google ve Apple, ilgili ürünlerindeki sıfır gün güvenlik açıklarının sayısı açısından – her zaman olduğu gibi – listelerin başında yer aldı. Üç tedarikçi birlikte, Mandiant’ın geçen yıl izlediği 55 sıfır günün 37’sini oluşturuyordu. İşletim sistemlerindeki sıfır günün on beşi Windows’u etkiledi ve 11 tarayıcı sıfır gününden dokuzu Google Chrome’da gerçekleşti.
Aynı zamanda tehdit aktörlerinin bulduğu ve diğer teknolojilerde istismar ettiği sıfır gün sayısı da arttı. Sıfır gün sayıları arttıkça, mağdur olan satıcı sayısı da artıyor, diyor Charrier: “Hedeflenen ilk üç satıcı tutarlı kalırken, ek hedeflenen satıcı çeşitliliği genellikle her yıl genişlemeye ve değişmeye devam ediyor.”