İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

2024 10. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

10.Hafta Siber Güvenlik Haberleri

Haftanın Siber Güvenlik Terimi

Terim

Açıklama

Defense-in-depth (Derinlemesine Savunma)

Güvenlik hedeflerine ulaşmak için birden fazla karşı önlemin katmanlı veya aşamalı bir şekilde uygulanması. Metodoloji, bir teknoloji tarafından kaçırılan saldırıların bir başka teknoloji tarafından yakalanmasını sağlamak için ortak saldırı vektörlerinde heterojen güvenlik teknolojilerinin katmanlandırılmasını içerir.

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

28-02-2024

WordPress Plugin Admin Bar & Dashboard Access Control

Stored XSS

WordPress

03-03-2024

Petrol Pump Management Software v.1.0

SQL Injection

Petrol Pump Management Software

05-03-2024

Windows PowerShell - Event Log

Code Execution

Windows PowerShell

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Tür

Hedef

29-02-2024

GTPDOOR

Arka kapı

Telekom Ağları

04-03-2024

Phobos Ransomware

Fidye Yazılımı

ABD Kritik Altyapı Kuruluşları

05-03-2024

TODDLERSHARK

Bilgi Hırsızlığı

ConnectWise ScreenConnect

Haber Yazısı 1

Araştırmacılar Tarafından, Kritik Altyapıyı Bozmayı Amaçlayan Stuxnet Benzeri PLC Kötü Amaçlı Yazılım Geliştirildi

TARİH: 5 Mart 2024

İçlerinde yerleşik Web sunucuları bulunan programlanabilir mantık denetleyicilerinin (PLC'ler) çoğalması, saldırganlara, kritik altyapı sektörlerindeki endüstriyel kontrol sistemlerine (EKS) yönelik operasyonel teknolojiye (OT) karşı potansiyel olarak yıkıcı, uzaktan saldırılar başlatmanın bir yolunu açıyor.

Tehdidi vurgulamak için Georgia Teknoloji Enstitüsü'nden bir araştırmacı ekibi, bir saldırganın PLC içindeki yerleşik bir Web sunucusuna uzaktan erişmek ve temeldeki fiziksel sisteme saldırmak için kullanabileceği kötü amaçlı yazılım geliştirdi. Araştırmacılar, bir saldırganın kötü amaçlı yazılımı, aktüatörlere giden çıkış sinyallerini manipüle etmek, sensör okumalarını tahrif etmek, güvenlik sistemlerini devre dışı bırakmak ve yaşam kaybı dahil olmak üzere potansiyel olarak yıkıcı sonuçları tetikleyebilecek diğer eylemleri gerçekleştirmek için kullanabileceğini söyledi.

Çoğu PLC kötü amaçlı yazılımı tipik olarak denetleyicilerin ürün yazılımını veya kontrol mantığını etkilerken, yeni Web tabanlı kötü amaçlı yazılım, kötü amaçlı JavaScript ile PLC'lerdeki ön uç Web katmanına saldırarak, bu tür kötü amaçlı kodların geçmişte karşılaştığı bazı sınırlamaları ortadan kaldırıyor.

Araştırmacılar makalelerinde, bir saldırganın Web sunucusuna çeşitli yollarla zararlı kodları uzaktan enjekte ederek PLC'ye ilk erişimi nasıl elde edebileceğini ve ardından alttaki makineyi bozmak için meşru uygulama programlama arayüzlerini (API) nasıl kullanabileceğini açıkladılar.

Geliştirilen Web tabanlı PLC (WB PLC) kötü amaçlı yazılımı, bir saldırganın kontrol ettiği endüstriyel motora fiziksel olarak zarar vermesine, yönetici ayarlarını kötüye kullanmasına ve endüstriyel casusluk amacıyla verileri çalmasına olanak tanıyor.

Tüm bunlara bakıldığında yeni geliştirilen bir PLC kötü amaçlı yazılımı, bir EKS ortamını hedeflemek için fiziksel erişim gerektirmiyor, çoğunlukla platformdan bağımsız ve kritik altyapıyı hedefleyen geleneksel kötü amaçlı yazılımlardan daha dayanıklı.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Bilgisayar Korsanları, Kimlik Avı Saldırılarında Windows NTLM Kimlik Doğrulama Hash’lerini Çaldı

TARİH: 4 Mart 2024

TA577 olarak bilinen bilgisayar korsanlığı grubu, hesap ele geçirme işlemlerini gerçekleştirmek için NT LAN Manager (NTLM) kimlik doğrulama hashlerini çalmak amacıyla kimlik avı e-postaları kullanarak yakın zamanda taktiklerini değiştirdi.

TA577, daha önce Qbot ile ilişkilendirilen ve Black Basta fidye yazılımı enfeksiyonlarıyla bağlantılı olan bir ilk erişim aracısı (IAB) olarak kabul ediliyor.

E-posta güvenlik firması Proofpoint, TA577'nin yakın zamanda Pikabot'u konuşlandırmayı tercih ettiğini görmesine rağmen, son iki saldırı dalgasının farklı bir taktiği gösterdiğini bildirdi.

26 ve 27 Şubat 2024'te başlatılan farklı TA577 kampanyaları, dünya çapında yüzlerce kuruluşa binlerce mesaj yayarak çalışanların NTLM hashlerini hedef aldı.

NTLM hashleri Windows'ta kimlik doğrulama ve oturum güvenliği için kullanılır ve düz metin parolasını elde etmek amacıyla çevrimdışı parola kırma amacıyla yakalanabilir.

Ek olarak, saldırganların uzak bir sunucu veya hizmette kimlik doğrulaması yapmak için hash değerini olduğu gibi kullandığı, hiçbir şekilde kırma içermeyen " hash geçişi " saldırılarında da kullanılabilirler.

Çalınan hashler, belirli koşullar altında ve yürülükteki güvenlik önlemlerine bağlı olarak, saldırganların ayrıcalıklarını artırmasına, hesapları ele geçirmesine, hassas bilgilere erişmesine, güvenlik ürünlerinden kaçmasına ve ihlal edilen bir ağ içinde yanal olarak hareket etmesine olanak sağlayabilir.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Siber Güvenlik Terimi
  2. Exploitler
  3. Zararlı Yazılımlar
  4. Haber Yazısı 1
  5. Haber Yazısı 2