SAP Netweaver Flaw Hacker’ları çekiyor

Siber suç, siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç

Ayrıca, Infostealer Dumps’ta bulunan Doge Çalışanlarının Kimlik Bilgileri

Anviksha More (Anvikshamore) •
15 Mayıs 2025

Her hafta, Bilgi Güvenliği Medya Grubu, dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. Bu hafta, SAP Netweaver Flaw, Ivanti uç nokta mobil yöneticisinde sıfır günler, Doge Çalışanlarının İnfostealer dökümlerinde bulunan ve nucor durdurulmuş operasyonlarda bulunan Hacker’ları Drew Hackers. Kuzey Koreli hackerlar Güney Korelileri sahte konferans davetleri ile hedef aldı, Rus hackerlar webmail sunucularını hedef aldı ve Microsoft 72 yamayı yayınladı.

Ayrıca bakınız: Dijital adli tıp ve olay yanıtı için Gartner Rehberi

Fidye yazılımı çeteleri Ransomexx ve Bianlian, SAP NetWeaver sunucularına devam eden saldırılara katıldı ve kimlik doğrulanmamış uzaktan kod yürütülmesini sağlayan CVE-2025-31324’ü izleyen kritik bir güvenlik açığı hedef aldı. SAP, 24 Nisan’da siber güvenlik firması Reliaquest’in Wild Insouring’i işaretlemesinin ardından acil durum yamaları yayınladı.

Güvenlik açığı, saldırganların kimlik bilgileri olmadan kötü amaçlı dosyaları yüklemelerini sağlar ve potansiyel olarak tam sistem uzlaşmasına yol açar. Reliaquest, Ransomexx aktörlerinin pipemagik arka kapılarını kullandığını ve Windows CLFS’nin bir olayda kusurunu kullandığını söyledi.

Çin ulus-devlet grupları da hatadan yararlanıyor. 581 sırtlı NetWeaver sistemini belirleyerek CHAYA_004’ü gruplandıran saldırıları öngörüyor.

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-31324 ekledi ve ABD federal ajanslarının 20 Mayıs’a kadar yamasını gerektirdi.

Kuşatmış Edge Cihaz üreticisi Ivanti, müşterileri Pazartesi günü, bilgisayar korsanlarının, kimlik doğrulanmamış erişim ve ardından uzaktan kod yürütme elde etmek için uç nokta yöneticisi mobil platformunda iki sıfır günlük kusur kullandıkları konusunda uyardı.

Utah şirketi, “açıklama sırasında çözümü sömürülen çok sınırlı sayıda müşteri” nin farkına vardıktan sonra güncellemeler yayınladığını söyledi. Kusurlar CVE-2025-4427 ve CVE-2025-4428 olarak izlenir.

Ivanti, ürünlerinin ne kadar hacklenebilir olduğunu keşfetmek için iki yıllık bir yolculuğa çıktı (bkz: Ivanti, Yaşam Sonu İşletim Sistemlerini, Yazılım Paketlerini Kullanıyor).

Bu durumda Ivanti, kusurun nihayetinde bundan kaynaklanmadığını, ancak isimsiz üçüncü taraf açık kaynaklı kütüphanelerden kaynaklandığını söyledi. Şirket “bakımcılarla etkileşime giriyor” dedi.

Bir blog yayınında, siber güvenlik şirketi Watchtowr, Ivanti’nin etkilenen müşterilerin “çok sınırlı sayıda” tanımının muhtemelen bu şekilde kalmayacağını tahmin etti. “Kesinlikle bildiğimiz şey – ‘yüksek hedefli’ operasyonlar yayınlandıktan sonra, saldırganların internette her şeyi toplu olarak toplayan herhangi bir değer elde etmek için toplu olarak gördük.”

Tenlenebilir bir araştırmacı, CVE-2025-4427’nin uzak saldırganların, normalde yalnızca kimlik doğrulama kullanıcıları için erişilebilen EPMM uygulama programlama arayüzüne erişmesine izin verdiğini yazdı. CVE-2025-4428, uzaktan kod yürütme kusurudur. “Bu kusurları başarıyla kullanan bir saldırgan, kimlik doğrulaması olmadan savunmasız bir cihazda keyfi kod yürütmek için onları bir araya getirebilir.”

Aktivist kodlayıcı Micah Lee, geçen Perşembe günü Veri ihlali kayıtlarını ve Hükümet Bakanlığı Çalışanı Kyle Schutt’un ihlal izleme hizmetinde kişisel gmail ile ilişkili dört infostealer günlük dökümü gördü.

Bir yazılım mühendisi olan Schutt, Elon Musk liderliğindeki Doge’in bu yılın başlarında ABD Hükümeti içindeki belirsiz yasallığın maliyet düşürme ve kod açma kampanyası başladığından çeşitli federal ajanslarda ortaya çıktı. Temel finansal yönetim sistemine ve Federal Acil Durum Yönetim Ajansı’na erişim sağladığı ve siber güvenlik ve altyapı güvenlik ajansına katıldığı bildirildi.

Lee, Schutt’un kimlik bilgilerinin Naz.api, Alien Txtbase ve Telegram Leaked Logs gibi büyük veri dökümlerinde göründüğünü söyledi. Lee, Schutt’un ne zaman veya ne sıklıkta saldırıya uğradığını belirsiz olduğunu, ancak Doge personelini hükümet çalışmaları için kişisel cihazları kullanmaktan kaçınmaya çağırdığını söyledi.

Kuzey Amerika’nın en büyük çelik üreticisi Nucor, BT sistemlerine yetkisiz erişimi içeren bir siber güvenlik olayının ardından belirli sitelerde operasyonları geçici olarak kapattı. Kuzey Carolina şirketi, olay müdahale planını etkinleştirdiğini, etkilenen sistemleri çevrimdışı aldığını ve iyileşme üzerinde çalıştığını söyledi. Kabaca 300 tesisinden hangisinin etkilendiğini açıklamadı.

Scarcruft, Reaper ve Inkysquid olarak da bilinen Kuzey Kore Hacking Grubu Apt37, Mart ayında Ulusal Güvenlik Konferansı Davetiyeleri ve Birlik Hareketi Zekası olarak gizlenmiş kötü amaçlı yazılım bağlıları ile Güney Koreli bireyleri hedeflemek için mızrak aktı e-postaları kullandı.

Güney Kore türlerindeki araştırmacılar, APT37’nin Dropbox aracılığıyla kötü amaçlı LNK dosyaları teslim ettiğini ve kurbanların cihazlarına Rokrat kötü amaçlı yazılımlarını dağıttığını ortaya çıkardı. Bir kampanya, bölgesel bir uzman taklit etti ve Rusya’daki Kuzey Kore birlikleri konuşlandırmalarına Intel sunduğunu iddia etti. Bir diğeri “Trump 2.0 ERA: Beklentiler ve Güney Kore’nin yanıtı” başlıklı gerçek bir etkinliği taklit etti. Her ikisinde de APT37, kurbanları kandırmak için tema ile ilgili görüntüler ve Dropbox tarafından barındırılan yükler kullandı.

Rokrat, bir kez dağıtıldıktan sonra, sistem verilerini çalar, ekran görüntüleri yakalar, komutlar yürütür ve dosyaları toplar. LNK dosyaları, kurbanların dikkatini dağıtmak için bir tuzak belgesini gösterirken gizli Powershell komut dosyalarını çalıştırdı. Yavrüler, kötü amaçlı yazılımları K messenger sohbet odalarını kullanarak önceki kampanyalara bağladılar ve Dropbox, Yandex, Google Drive ve OneDrive gibi bulut hizmetlerinin komut ve kontrol için sürekli kötüye kullanılmasını kaydetti.

Bir Rus siber boyama operasyonu, Ukrayna ve Romanya’da Ukrayna ordusu tarafından kullanılan Sovyet dönemine ait silahlar üreten Ukrayna hükümet ajansları ve savunma şirketleri tarafından kullanılan Webmail Server müşterilerine saldırıyor.

ESET’ten güvenlik araştırmacıları, 2023’ten bu yana çeşitli APT28, Fantezi Ayı veya Orman Blizzard olarak bilinen bir birim olan Rus Ana İstihbarat Müdürlüğü tarafından bir web sunucusu hackleme modeli gözlemlediklerini söylüyor. ESET bunu Sednit olarak izler.

Bir kampanyada ESET DUBS Operasyonu RoundPress, Rus Eyalet Hacker’ları, Webmail sunucularında, ilk başta Roundcube yazılımına odaklanarak ancak 2024’te Horde, MDAemon ve Zimbra’yı hedeflemek için 2024’te dallanan siteler arası komut dosyaları kullandılar. ESET, Sednit muhtemelen MDAemon’da CVE-2024-11182 olarak izlenen, ancak bilinen kusurları kullandı, ancak diğer webmail sunucularına saldırmak için bilinen kusurlar kullandı.

Kurbanları tehlikeye atmak için, bilgisayar korsanları, Webmail kimlik bilgilerini gizli bir biçimde doldurmak için tarayıcılar ve şifre yöneticisini kandıran “spypress” kötü amaçlı yazılım varyantlarını içeren kötü amaçlı JavaScript kodunu indiren Mızrak Kimlik avı e -postalarına XSS istismarlarını yaydı. Bazı örnekler, kullanıcıları webmaillerinden günlüğe kaydederek ve sahte bir oturum açma sayfası göstererek kandırdı.

2023 yılında Ukraynalı bilgisayar acil müdahale ekibi, üç yuvarlak kamüp kusurundan yararlanan bir Rus kampanyası hakkında uyardı. ESET, diğer Roundpress hedeflerinin Afrika, Avrupa Birliği ve Güney Amerika’daki devlet kurumlarını içerdiğini söyledi.

Webmail sunucuları bilgisayar korsanları için bir hedef olmaya devam ediyor çünkü birçok kuruluş sistemlerini güncel tutamıyor. ESET araştırmacıları, “Güvenlik açıkları bir e -posta mesajı göndererek uzaktan tetiklenebileceğinden, saldırganların bu tür sunucuları e -posta hırsızlığı için hedeflemesi çok uygundur.”

Microsoft’un Mayıs Yaması, aralarında daha önce sömürülen beş sıfır gün ve herkese açık olarak ifşa edilen 72 güvenlik açığı için güvenlik düzeltmelerini ele aldı. Yamalı kusurların altısı, en çok uzaktan kod yürütülmesini içeren kritik olarak derecelendirilmiştir, geri kalanı yayılan ayrıcalık artış, hizmet reddi, sahtekarlık ve bilgi açıklama sorunları.

Aktif olarak sömürülen güvenlik açıkları arasında, Windows DWM çekirdek kütüphanesinde ciddi bir kusur var ve saldırganların kullanılmayan bir hata yoluyla sisteme ayrıcalıkları yükseltmesini sağlıyor. Windows Ortak Günlük Dosyası Sistemi Sürücüsü ve Winsock için Yardımcı İşlev Sürücüsü’ndeki benzer ayrıcalık artış kusurları bulundu ve sabitlendi. Microsoft komut dosyası motorunu etkileyen beşinci kullanıcı, bir kullanıcı Edge veya Internet Explorer’da hazırlanmış bir bağlantıyı tıklamak için kandırılırsa uzaktan kod yürütülmesini sağlar.

Microsoft ayrıca, Microsoft Defender’da kimlik için halka açık bir sahtekarlık kırılganlığına da hitap etti, bu da aynı ağdaki bir saldırganın hesapları taklit etmesini sağladı. Visual Studio’da kamuya açıklanan bir başka kusur, komut enjeksiyonunu ve yerel kod yürütmesini sağlayabilir.

Geçen haftadan diğer hikayeler

Bilgi Güvenliği Medya Grubu’nun Hindistan’daki Jayant Chakravarti, Güney İngiltere’deki Akshaya Asokan ve Kuzey Virginia’daki David Perera’dan raporlar.