2022 11. Hafta Siber Güvenlik Haberleri

SİBER GÜVENLİK GÜNDEMİ

11.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih	Exploit Başlığı	Tür	Platform
09-03-2022	Wondershare Dr.Fone 12.0.18 - 'Wondershare InstallAssist' Unquoted Service Path	Local	Windows
10-03-2022	McAfee(R) Safe Connect VPN- Unquoted Service Path Elevation Of Privilege	Local	Windows
10-03-2022	Zabbix 5.0.17- Remote Code Execution (RCE) (Authenticated)	WebApps	PHP
10-03-2022	New Exploit Bypasses Existing Spectre-V2 Mitigations in Intel, AMD, Arm CPUs	Hardware	Intel, AMD, Arm
11-03-2022	Tdarr 2.00.15- Command Injection	Remote	Multiple
14-03-2022	VIVE Runtime Service- 'ViveAgentService' Unquoted Service Path	Local	Windows

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih	Zafiyet Başlığı	Tür/Platform
09-03-2022	CVE-2019-18394	RCE/Pascom bulut telefon sistemi
09-03-2022	CVE-2022-22805-22806, CVE-2022-0715	Ara bellek taşması, kimlik doğrulama atlama/APC Smart-UPS Cihazları
09-03-2022	CVE-2022-26143	Mitel cihazları
14-03-2022	CVE-2022-25636	Rastgele kod yürütme/Netfilter firewall linux hatası
14-03-2022	Dirty Pipe	QNAP cihazları etkileyen linux açıklıkları

Mart ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih	Zararlı Yazılım Başlığı	Tür/Platform
14-03-2022	Kwampirs	Backdoor
14-03-2022	CaddyWiper	Silecek yazılımı

Haftanın Veri İhlalleri

Tarih	Veri İhlali Başlığı	Veri İhlali Tür/Platform
14-03-2022	Oyun şirketi Ubisoft hacklendiğini doğruladı	Ubisoft

Yerel veri ihlal bildirimlerine buradan ulaşabilirsiniz.

Haber Yazısı 1

Emotet Botnet'in Yeni Hali 100.000'den Fazla Bilgisayara Yayıldı

TARİH: 9 Mart 2022

10 aylık bir aradan sonra Kasım 2021'de geri dönen sinsi Emotet botnet, bir kez daha istikrarlı büyüme belirtileri sergiliyor ve kötü niyetli faaliyetlerini gerçekleştirmek için 100.000'den fazla virüslü cihazdan oluşan oluşan bir botneti bir araya getiriyor.

Lumen's Black Lotus Labs'tan araştırmacılar bir raporda, "Emot henüz bir zamanlar sahip olduğu ölçeğe ulaşmamış olsa da botnet Kasım 2021'den bu yana 179 ülkeye yayılmış yaklaşık 130.000 benzersiz botla güçlü bir canlanma gösteriyor." Dedi . Emotet, Ocak 2021'in sonlarında "Ladybird" adlı kordineli bir yasa uygulama operasyonunun bir parçası olarak yayından kaldırılmasından önce, dünya çapında 1,6 milyondan az cihaza bulaşmamıştı ve siber suçluların güvenliği ihlal edilmiş sistemlere bankacılık truva atları veya fidye yazılımları gibi diğer kötü amaçlı yazılım türlerini yüklemeleri için bir kanal görevi görmüştür. Black Lotus Labs, Emotet'in yeni varyantlarının ağ trafiğini şifrelemek için RSA şifreleme şemasını eliptik eğri kriptografisi (ECC) lehine değiştirdiğini ekleyerek "botların toplanmasının gerçekten Ocak [2022]'ye kadar ciddi şekilde başlamadığını" belirtti.

Yeteneklerine bir başka yeni ekleme, güvenliği ihlal edilmiş makinelerden çalışan işlemler listesinin ötesinde ek sistem bilgileri toplama yeteneğidir. Emotet'in botnet altyapısının alan adlarının çoğu ABD, Almanya, Fransa, Brezilya, Tayland, Singapur, Endonezya, Kanada, Hindistan, Birleşik Krallık'ta bulunan yaklaşık 200 komuta ve kontrol (C2) sunucusunu kapsadığı söyleniyor. Enfekte botlar ise ağırlıklı olarak Asya'da, özellikle Japonya, Hindistan, Endonezya ve Tayland, Güney Afrika, Meksika, ABD, Çin, Brezilya ve İtalya'da yoğunlaşıyor. Araştırmacılar, "Bölgedeki savunmasız veya eski Windows ana bilgisayarlarının baskınlığı göz önüne alındığında bu şaşırtıcı değil" dedi.

Cihazlarınızı ve dolayısıyla kuruluşunuzu bot ağından korumak için sistemlerinizi güncel tutmak ve sıkılaştırma tedbirlerini almanız önerilmektedir.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

İranlı Siber Saldırganlar Yeni Kötü Amaçlı Yazılım Kampanyasında Türkiye ve Arap Yarımadasını Hedefliyor

TARİH: 10 Mart 2022

MuddyWater olarak bilinen İran devlet destekli tehdit aktörü, güvenliği ihlal edilmiş sistemlere uzaktan erişim truva atları (RAT) yerleştirmek amacıyla Türkiye ve Arap Yarımadası'nı hedef alan yeni bir saldırı kampanyasıyla ilişkilendiriliyor.

Cisco Talos araştırmacıları yayınlanan bir raporda, "MuddyWater grubu casusluk, fikri mülkiyet hırsızlığı yapmak, bir kuruluşta fidye yazılımı ve yıkıcı kötü amaçlı yazılımları dağıtmak için yetkisiz erişimi kullanabilir." Dedi.

En az 2017'den beri aktif olan grup, İran'ın jeopolitik ve ulusal güvenlik hedeflerini daha da ilerletmeye yardımcı olan çeşitli sektörlere yönelik saldırılarıyla tanınıyor. Ocak 2022'de ABD Siber Komutanlığı, aktörü ülkenin İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağladı.

Siber güvenlik firması, MuddyWater'ın "tek bir tehdit aktörü grubu yerine bağımsız olarak çalışan birden fazla ekipten oluşan bir holding olduğunu ve Çin merkezli bir gelişmiş kalıcı tehdit (APT) olan Winnti ile ilişkili olduğunu düşünüyor.

Son gelişen siber güvenlik kampanyaları, komuta ve kontrol sunucularından alınan rastgele kod ve komutları yürütebilen SloughRAT (aka Canopy by CISA) adlı bir uzaktan erişim truva atını dağıtmak için kimlik avı mesajları aracılığıyla gönderilen kötü amaçlı yazılımla bağlantılı belgelerin kullanımını içeriyor.

Bu tür zararlı yazılımlardan korunmak için uygun güvenlik ürünlerinin (Firewall, Antivirüs, Sandbox, XDR, EDR vb.) kullanılması, ağ sınırlandırmalarının yapılması, dışarıdan gelecek tehditler için network ve sistemlerinin 7/24 izlemelerinin gerçekleştirilmesi ve sunucu sıkılaştırılmalarının yapılması önerilmektedir.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Popüler Yazılım Paket Yöneticilerinde Bulunan Çoklu Güvenlik Kusurlarına Dikkat!

TARİH: 11 Mart 2022

Popüler paket yöneticilerinde, potansiyel olarak kötüye kullanılması durumunda keyfi kod çalıştırmak ve güvenliği ihlal edilmiş makinelerden kaynak kodu ve erişim belirteçleri dahil olmak üzere hassas bilgilere erişmek için kötüye kullanılabilecek birden fazla güvenlik açığı açıklandı.

SonarSource araştırmacısı Paul Gerste, "Bu, uzaktan bir geliştirici makinesine doğrudan bir saldırı başlatılamayacağı ve geliştiricinin hatalı biçimlendirilmiş dosyaları yüklemesi için kandırılmasını gerektirdiği anlamına gelir" dedi Fakat her geliştiricinin siber farkındalığı yüksek olmayabilir buda bu tehdit için açık bir kapı olabilir.

Hileli kitaplıkların depoları paketlemeye başlamasıyla ilgili güvenlik riskleri olsa da bağımlılıkları yönetme eylemi genellikle potansiyel olarak riskli bir işlem olarak görülmez. Ancak çeşitli paket yöneticilerinde yeni keşfedilen sorunlar, bunların saldırganlar tarafından kurbanları kötü niyetli kod yürütmeleri için kandırmak için silahlandırılabileceğini vurguluyor. Kusurlar aşağıdaki paket yöneticilerinde tespit edilmiştir:

- Composer 1.x <1.10.23 and 2.x < 2.1.9
- Bundler < 2.2.33
- Bower < 1.8.13
- Poetry < 1.1.9
- Yarn < 1.22.13
- pnpm < 6.15.1
- Pip (no fix), and
- Pipenv (no fix)

Gerste, "Geliştiriciler, siber suçlular için çekici bir hedef çünkü bir şirketin temel fikri mülkiyet varlıkları olan kaynak koda erişimleri var. Onlardan ödün vermek, saldırganların casusluk yapmasına veya bir şirketin ürünlerine kötü amaçlı kod yerleştirmesine olanak tanır. Bu, tedarik zinciri saldırılarını gerçekleştirmek için dahi kullanılabilir." dedi.

Bu tür saldırılardan korunma için geliştiricilerin güvenlik farkındalıklarını arttırmaları ve güvenli yazılım geliştirme tedbirlerinin uygulanması önerilmektedir.

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

Büyük DDoS Saldırısı İsrail Hükümetinin İnternet Sitelerini Çevrimdışı Hale Getirdi

TARİH: 15 Mart 2022

İsrail hükümetine ait bir dizi web sitesi pazartesi günü dağıtılmış bir hizmet reddi ( DDoS ) saldırısında düşürüldü ve portallar kısa bir süre için erişilemez hale geldi.

İsrail Ulusal Siber Müdürlüğü (INCD) bir tweet'te, "Son birkaç saat içinde bir iletişim sağlayıcısına yönelik bir DDoS saldırısı tespit edildi. Sonuç olarak, aralarında devlet sitelerinin de bulunduğu birçok web sitesine erişim kısa bir süreliğine engellendi. Şu an itibariyle tüm web siteleri normal faaliyetlerine geri döndü." dedi.

Dağıtılmış bir hizmet reddi saldırısı, saldırı trafiği kaynağı olarak güvenliği ihlal edilmiş bilgisayarları ve IoT cihazlarını kullanarak kurbanı ve çevresindeki altyapıyı bir önemsiz internet trafiği akışıyla ezerek hedeflenen bir sunucunun veya hizmetin normal trafiğini engellemeye yönelik kötü niyetli bir girişimdir.

Gelişme, internet gözlemcisi NetBlocks'un İsrail'in telekom sağlayıcıları Bezeq ve Cellcom tarafından sağlanan birden fazla ağda kayıtlı "önemli kesintiler" olduğunu bildirmesinin ardından geldi.

INCD, saldırıları belirli bir tehdit aktörüne sabitlemedi, ancak Jerusalem Post , olayın , ülkenin Fordow nükleer zenginleştirme tesisine yönelik sabotaj girişimi iddiasına misilleme olarak İran bağlantılı bir hacker grubunun işi olabileceği ihtimaline değindi.

DDoS saldırılarından korunmak için router düzeyi, firewall düzeyi ve son kullanıcı düzeyinde güvenlik önlemlerinin alınması önerilmekledir.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 5

2021'in 4. Çeyreğinde Yüzlerce Siber Saldırıda Yaklaşık 34 Fidye Yazılımı Varyantı Gözlemlendi

TARİH: 15 Mart 2022

Intel 471 tarafından yayınlanan yeni araştırmaya göre, 2021'in dördüncü çeyreğinde 722 fidye yazılımı saldırısı gözlemlendi ve LockBit 2.0, Conti, PYSA, Hive ve Grief en yaygın türler olarak ortaya çıktı.

Saldırılar, 2021'in üçüncü ve ikinci çeyreğinden itibaren sırasıyla 110 ve 129 saldırı artışına işaret ediyor. Ekim ve Aralık 2021 arasındaki üç aylık dönemde toplamda 34 farklı fidye yazılımı varyantı tespit edildi.

Üç aylık dönemde en çok etkilenen sektörler aşağıda verilen görselde ki gibidir:

Kaydedilen tüm LockBit 2.0 saldırılarından en çok etkilenen ülkeler arasında ABD, ardından İtalya, Almanya, Fransa ve Kanada yer aldı. Conti enfeksiyonlarının çoğu ABD, Almanya ve İtalya'da da rapor edildi. ABD, PYSA ve Hive fidye yazılımı saldırılarından da en çok etkilenen ülke olmaya devam etti.

Araştırmacılar, "Tüketici ve endüstriyel ürünler sektörünü etkileyen saldırılar 2021'in üçüncü çeyreğine göre %22,2 artarak dördüncü çeyrekte en çok etkilenen sektör haline geldi" dedi.

Fidye yazılım saldırılarından korunmak için ilgili makalemizden faydalanabilirsiniz.

[5] Haber ayrıntılarına buradan ulaşabilirsiniz.