Amerika Birleşik Devletleri’ndeki hem sağlık hizmetleri hem de kripto para birimi topluluklarına yönelik yeni bir ConnectWise kimlik avı kampanyası keşfedildi.
Karanlık ağdaki tehdit aktörleri tarafından düzenlenen bu kampanyalar, özellikle ScreenConnect güvenlik açığından yararlanarak kötü amaçlı yazılım dağıtmak için aldatıcı taktikler kullandı.
BT uzmanları ve Yönetilen Hizmet Sağlayıcıları (MSP’ler) tarafından yaygın olarak kullanılan meşru bir uzaktan destek aracı olan ConnectWise ScreenConnect, bu siber saldırıların odak noktası haline geldi.
Tehdit aktörleri, ScreenConnect’teki güvenlik açıklarından yararlanarak kurban sistemlerine yetkisiz erişim elde ederek çeşitli hain faaliyetler gerçekleştirmelerine olanak sağladı.
Tehdit Aktörleri Tarafından İstismar Edilen ScreenConnect Güvenlik Açığı
Cyble Research and Intelligence Labs’e (CRIL) göre, bu kimlik avı kampanyalarının işleyiş biçimi, genellikle meşru kripto para birimi platformlarını veya sağlık kuruluşlarını taklit eden sahte web sitelerinin oluşturulmasını içeriyor.
Örneğin, böyle bir kimlik avı sitesi, “hxxps://rollecoin[.]çevrimiçi”, Bitcoin madenciliği simülasyon oyunları sunan bir platform olan RollerCoin’in orijinal web sitesine çok benziyordu. Ziyaretçilerin aşina olmadığı bu sahte sitelerle etkileşim, ScreenConnect istemci dosyalarının farkında olmadan indirilmesine yol açtı ve bu dosyalar, tehdit aktörleri ile kurbanlar arasındaki ilk temas noktası olan bilgisayar korsanları tarafından istismar edilme riskiyle karşı karşıya kaldı.
Benzer şekilde, sağlık kuruluşları, “sgacor.kenparkmdpllc” gibi alt alan adı devralmaları kullanılarak barındırılan aldatıcı web siteleri aracılığıyla hedef alınmıştır.[.]com” meşru sağlık hizmetleri platformları gibi görünüyor. Bu kimlik avı siteleri, kurbanları kötü amaçlı yazılım indirmeye teşvik etmek için ünlü sağlık hizmetlerine duyulan güvenden yararlanıyor.
Sağlık tesislerine yönelik siber saldırıların artması göz önüne alındığında, ConnectWise kimlik avı kampanyası, tehdit aktörlerinin sağlık ve tıpla ilgili kuruluşları agresif bir şekilde hedef alması nedeniyle yangını körüklüyor.
ScreenConnect Güvenlik Açığından Yararlanan Benzer Olaylar
Analizin ardından CRIL, indirilen ScreenConnect istemci dosyalarının Microsoft Installer dosyalarının dağıtımını başlattığını ve bu sayede ScreenConnect hizmetinin ele geçirilen makinelere kurulumunu kolaylaştırdığını keşfetti.
Bu örneklerde sunucu ile istemci arasında aktif iletişim tespit edilmese de, veri çıkarma veya kötü amaçlı yazılım yayma potansiyeli ciddi bir endişe kaynağı olmaya devam etti.
ScreenConnect güvenlik açıklarının bu şekilde istismar edilmesi eşi benzeri görülmemiş bir durum değil. Çeşitli siber güvenlik firmaları tarafından belgelenen önceki olaylar, benzer suiistimal modellerini öne çıkarmıştı.
Örneğin Şubat 2021’de ScreenConnect’in Static Kitten gibi tehdit grupları tarafından istismar edilme potansiyeline ilişkin şüpheler ortaya çıktı.
Mayıs 2022 ve Kasım 2023’te yaşanan müteakip olaylar, özellikle sağlık sektöründeki kuruluşların ScreenConnect aracılığıyla gerçekleştirilen siber saldırılara karşı duyarlılığını daha da vurguladı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.