İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

2022 4. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

4.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

19-01-2022

Rocket LMS 1.1- Persistent Cross Site Scripting (XSS)

WebApps

PHP

24-01-2022

Landa Driving School Management System 2.0.1- Arbitrary File Upload

WebApps

PHP

25-01-2022

PHPIPAM 1.4.4 - SQLi (Authenticated)

WebApps

PHP

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Tür/Platform

19-01-2022

CVE-2021-35247

Giriş doğrulama/ SolarWinds Serv-U

19-01-2022

! CVE-2022-20649

Rastgele kod yürütme/ Cisco StarOS RCM

20-01-2022

CVE-2021-34423,-24

Zoom

21-01-2022

CVE-2021-45467

Dosya yükleme/Control Web Panel

21-01-2022

CVE-2022-0218

WordPress WP HTML

23-01-2022

CVE-2022-21658

Rust

Ocak ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Tür/Platform

19-01-2022

White Rabbit

Fidye yazılım saldırısı

19-01-2022

BHUNT

Kripto para hırsızlığı

21-01-2022

MoonBounce

Rootkit

 

Haber Yazısı 1

Siber Saldırganlar Yeni Casusluk Saldırıları için Bulut Altyapısını Kullanıyor

TARİH: 22 Ocak 2022

Aktif bir casusluk kampanyası, kötü amaçlı yazılım yüklerini barındırmak ve Orta Doğu'daki hedeflerden komuta/kontrol sağlamak ve veri sızdırmak için Google Drive ve Dropbox gibi meşru bulut hizmetlerini kötüye kullanıyor.

Bulut tabanlı bilgi güvenliği şirketi Zscaler'e göre, siber saldırının en az Temmuz 2021'den beri devam ettiğine inanılıyor ve hedef hostlar üzerinde keşif yapmak ve hassas bilgileri yağmalamak için önceki saldırı çabaları sürdürülüyor.

Zscaler tarafından detaylandırılan en son kampanya, virüslü sistemlerde bir .NET arka kapısı sağlamak için İsrail ve Filistin arasında sürmekte olan çatışmalarla ilgili tuzak temaları kullanılmış ve  başkasıyla iletişim kurmak için Dropbox API'sinden yararlanılmıştır.

Güvenliği ihlal edilmiş makineye komuta etmek için belirli komut kodlarını kullanan implant, anlık görüntü alma, ilgili dizinlerdeki dosyaları listeleme ve karşıya yükleme ve isteğe bağlı komutlar çalıştırma özelliklerini destekler. Saldırı altyapısını inceleyen araştırmacılar, bu amaçla kullanılan en az beş Dropbox hesabı bulduklarını söylediler.

Zscaler ThreatLabz araştırmacıları, "Bu kampanyadaki hedefler tehdit aktörü tarafından özellikle seçildi. Hedefler Filistin'deki bankacılık sektörünün kritik üyelerini, Filistin siyasi partileriyle ilgili kişileri ve ayrıca Türkiye'deki insan hakları aktivistlerini ve gazetecileri içeriyordu." dedi.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Emotet Kötücül Yazılımı Yakalanmamak İçin Alışılmadık IP Adresi Biçimleri Kullanıyor

TARİH: 23 Ocak 2022

Emotet kötü amaçlı yazılım botnet'inin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak amacıyla ilk kez "alışılmamış (unconventional) " IP adresi biçimlerinin kullanıldığı gözlemlendi.

Trend Micro'nun Tehdit Analisti Ian Kenefick, bu temel işletim sistemleri tarafından işlendiğinde, uzak sunuculardan isteği başlatmak için otomatik olarak noktalı ondalık dörtlü gösterime dönüştürülen IP adresinin onaltılı ve sekizli temsillerinin kullanımını içerdiğini cuma günü bir raporda söyledi.

Bulaşma zincirleri önceki Emotet ile ilgili saldırılarda olduğu gibi, kullanıcıları kandırarak belge makrolarını etkinleştirmeyi ve kötü amaçlı yazılım yürütmeyi otomatikleştirmeyi amaçlıyor. Belge, kötü niyetli kişiler tarafından kötü amaçlı yazılım dağıtmak için defalarca kötüye kullanılan bir özellik olan Excel 4.0 Makrolarını kullanıyor.

Etkinleştirildiğinde, makro, uzak ana bilgisayardan bir HTML uygulaması (HTA) kodunu yürütmek için ana bilgisayar IP adresinin (h^tt^p^:/^/0xc12a24f5/cc.html) onaltılı gösterimini içeren, şapka işaretleri ile karıştırılmış bir URL'yi çağırır.

Kimlik avı saldırısının ikinci bir türü de aynı çalışma biçimini izler; tek fark, IP adresinin artık sekizli biçiminde kodlanmış olmasıdır. (h^tt^p^:/^/0056.0151.0121.0114/c.html).

Bulgular ayrıca, Microsoft'un müşterileri güvenlik tehditlerine karşı korumak için Excel 4.0 (XLM) Makrolarını varsayılan olarak devre dışı bırakma planlarını açıklamasıyla da geldi. Şirket geçen hafta yaptığı açıklamada , "Bu ayar artık varsayılan olarak Excel 4.0 (XLM) makrolarının Excel'de devre dışı bırakılmasına (Derleme 16.0.14427.10000) ayarlandı ." şeklinde açıklandı.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Dropbox
  2. Emotet
  3. Zararlı Yazılımlar
  4. Zafiyetler
  5. Exploitler