2022 9. Hafta Siber Güvenlik Haberleri

SİBER GÜVENLİK GÜNDEMİ

9.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih	Exploit Başlığı	Tür	Platform
23-02-2022	Adobe ColdFusion 11- LDAP Java Object Deserialization Remode Code Execution (RCE)	Remote	Windows
24-02-2022	Wondershare MirrorGo 2.0.11.346- Insecure File Permissions	Local	Windows
28-02-2022	Cobian Backup Gravity 11.2.0.58- 'CobianBackup11' Unquoted Service Path	Local	Windows
28-02-2022	WAGO 750-8212 PFC200 G2 2ETH RS- Privilege Escalation	Remote	Hardware

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih	Zafiyet Başlığı	Tür/Platform
24-02-2022	CVE-2022-23131, CVE-2022-23134	Ayrıcalık yükseltme/ Zabbix izleme yazılımı
24-02-2022	CVE-2022-20623-24	DoS/Cisco switch
28-02-2022	! CVE-2022-22722, 23, 25	Ara bellek taşması/GE Digital-SCADA yazılımı
28-02-2022	CVE-2021-25444, CVE-2021-25490	Keymaster-Samsung telefonları etkilemekte
28-02-2022	CVE-2022-24682	XSS/Zimbra

Şubat ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih	Zararlı Yazılım Başlığı	Tür/Platform
23-02-2022	Bvp47	Gizli hacking aracı-Arka kapı
23-02-2022	Dridex	Fidye yazılımı
24-02-2022	! Deadbolt	Fidye yazılımı/ ASUSTOR NAS
25-02-2022	SockDetour	Arka kapı/Windows host
26-02-2022	Electron Bot	Sosyal medya hesaplarını ele geçirme /Windows
28-02-2022	Reborn of Emotet	Truva atı
01-03-2022	! Daxin	Casusluk yazılımı/ Hükümetleri hedef almakta
01-03-2022	AnchorMail	Fidye yazılımı, arka kapı
01-03-2022	TeaBot	Bankacılı kötü amaçlı yazılımı

Haber Yazısı 1

Ukrayna Rusya Savaşında Siber Dünyada Neler Oluyor?

TARİH: 23 Şubat 2022

Siber güvenlik firmaları ESET ve Broadcom'dan Symantec , Rus kuvvetleri ülkeye karşı resmi olarak tam ölçekli bir askeri operasyon başlattığı için Ukrayna'da yüzlerce makineye yönelik yeni saldırılarda kullanılan yeni bir veri silecek kötü amaçlı yazılım keşfettiklerini söyledi. Slovak şirketi, 28 Aralık 2021'de derlenen kötü amaçlı yazılım örneklerinden biriyle " HermeticWiper " (aka KillDisk.NCV) adını verdi ve saldırılar için hazırlıkların yaklaşık iki aydır sürdüğünü ima ediyor.

ESET bir dizi tweet'te "Wiper ikili dosyası, Hermetica Digital Ltd'ye verilen bir kod imzalama sertifikası kullanılarak imzalandı. Wiper, verileri bozmak için EaseUS Partition Master yazılımındaki yasal sürücüleri kötüye kullanıyor. Son adım olarak wiper bilgisayarı yeniden başlatıyor." dedi. [1]

Ukrayna'nın Bilgisayar Acil Müdahale Ekibi (CERT-UA), Belarus devlet destekli bilgisayar korsanlarının, Rusya'nın ülkeyi askeri işgali sırasında düzenlenen bir kimlik avı kampanyasının bir parçası olarak askeri personelini ve ilgili kişileri hedef alması konusunda uyardı. Bu gelişmeler ardından kimlik avı, kötü amaçlı yazılım ve hacker grupları taraflı tutumlar sergiledi.

CERT-UA, "Son zamanlarda Ukrayna askeri personelinin ve ilgili kişilerin özel 'i.ua' ve 'meta.ua' hesaplarını hedef alan toplu kimlik avı e-postaları gözlemlendi. "Hesap ele geçirildikten sonra, saldırganlar IMAP protokolü ile tüm mesajlara erişebilir. Ardından saldırılar, kimlik avı mesajlarını diğer hedeflere yaymak için kurbanın adres defterinde saklanan iletişim bilgilerini kullanır.” [2]

Rus hükümeti geçtiğimiz hafta, ülkenin Ukrayna'yı tam anlamıyla işgalinin ikinci gününe girerken, yerel kritik altyapı operatörlerini hedef alan siber saldırılar konusunda uyardı.

Rusya Ulusal Bilgisayar Olayları Müdahale ve Koordinasyon Merkezi, "bilgisayar saldırılarının yoğunluğunun artması tehdidi" konusunda uyarıda bulunmanın yanı sıra, saldırıların önemli bilgi kaynaklarının ve hizmetlerinin işleyişini bozmayı ve itibar kaybına yol açmayı amaçlayabileceğini" söyledi.[3]

Microsoft Pazartesi günü, Rusya'nın geçen hafta ilk füze saldırılarını başlatmasından saatler önce Ukrayna'nın dijital altyapısına yönelik yeni bir saldırı ve yıkıcı siber saldırı turu tespit ettiğini açıkladı.

Teknoloji devinin Tehdit İstihbarat Merkezi'ne (MSTIC) göre izinsiz girişler, FoxBlade adlı daha önce hiç görülmemiş bir kötü amaçlı yazılım paketinin kullanımını içeriyordu ve üç saat içinde istismarı tespit etmek için Defender kötü amaçlı yazılımdan koruma hizmetine yeni imzalar eklediğini belirtti. [4]

Rusya'nın askeri işgalinin başlamasından önce ülkedeki birden fazla varlığı yıkıcı siber saldırıların vurmasından bir gün sonra, adı açıklanmayan bir Ukrayna hükümet ağına karşı yeni bir veri silici kötü amaçlı yazılımın konuşlandırıldığı gözlemlendi.

Slovak siber güvenlik firması ESET, 23 Şubat'ta bir sabotajın parçası olarak birkaç kuruluşu hedef alan başka bir veri silen kötü amaçlı yazılım olan HermeticWiper'dan (diğer adıyla FoxBlade) etkilenmeyen bir kuruluşta 24 Şubat'ta tespit edildiğini söylediği yeni kötü amaçlı yazılımı " IsaacWiper " olarak adlandırdı. [5]

Conti fidye yazılımı grubunun Vladimir Putin'in devam eden Ukrayna işgaline bağlılığını bildiren bir Rus yanlısı mesaj yayınlamasından günler sonra, Twitter kullanıcı adını @ContiLeaks kullanan anonim bir güvenlik araştırmacısı sendikanın dahili sohbetlerini sızdırdı.

Kötü amaçlı yazılım araştırma grubu VX-Underground tarafından yayınlanan dosya dökümünün, Rusya'ya bağlı fidye yazılımı grubunun bağlı kuruluşları ve yöneticileri arasında Haziran 2020'den Şubat 2022'ye kadar 13 aylık sohbet günlüklerini içerdiği söyleniyor. [6]

[1] Haber ayrıntılarına bu ( [1] , [2], [3] , [4], [5], [6] , ) kaynaklardan ulaşabilirsiniz. Bu konuyla ilgili sizler için hazırladığımız tavsiyelere buradan ulaşabilirsiniz.

Haber Yazısı 2

Dikkat! İran'ın MuddyWater Hacker Grubu, Dünya Çapında Siber Saldırılar Gerçekleştiriyor

TARİH: 25 Şubat 2022

Birleşik Krallık ve ABD'den siber güvenlik ajansları, İran hükümeti tarafından desteklenen gelişmiş kalıcı tehdit (APT) grubu tarafından dünya çapındaki hükümet ve ticari ağları hedef alan saldırılarda kullanılan yeni bir kötü amaçlı yazılımı ortaya çıkardı.

Ajanslar, "MuddyWater aktörleri, hem çalınan verileri hem de İran hükümetine erişim sağlamak ve bunları diğer kötü niyetli siber aktörlerle paylaşmak için konumlandı" dedi .

Ortak tavsiye, Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ABD Siber Komutanlığı Siber Ulusal Görev Gücü (CNMF) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından sağlanır.

Siber casusluk aktörünün bu yıl İran İstihbarat ve Güvenlik Bakanlığı'nın (MOIS) bir parçası olarak telekomünikasyon, savunma, yerel yönetim ve petrol ve doğal gaz sektörleri de dahil olmak üzere çok çeşitli hükümet ve özel sektör kuruluşlarını hedef alan kötü niyetli operasyonlar yürüttüğü ortaya çıktı. (Asya, Afrika, Avrupa ve Kuzey Amerika'da.)

Herkese açık olarak bildirilen güvenlik açıklarından yararlanmanın yanı sıra, bilgisayar korsanlığı kolektifinin hassas verilere erişmek, fidye yazılımı dağıtmak ve kurban ağlarında kalıcılık sağlamak için açık kaynaklı araçlar kullandığı tarihsel olarak gözlemlenmiştir.

Ayrıca İranlı bir jeopolitik bağlantı tehdidi aktörü, Kasım 2021'de adı açıklanmayan bir Orta Doğu hükümet kuruluşuna yapılan saldırının bir parçası olarak "simple" arka kapı işlevleriyle gelen iki yeni hedefli kötü amaçlı yazılımı dağıttığı ortaya çıktı.

Siber güvenlik şirketi Mandiant, saldırıyı, MuddyWater devlet destekli grupla ilişkili olarak "orta derecede güvenle" değerlendirdiği UNC3313 takma adıyla izlediği, kategorize edilmemiş bir kümeye bağladı.

Saldırı sırasında ipmplant tespitten kaçınmak amacıyla saldırgan kontrollü sunucuyla ağ iletişimi için Telegram API'sini kullanması nedeniyle adlandırılmıştır ve bir kez daha sızmayı kolaylaştırmak için iletişim araçlarının kullanımını vurgulamaktadır.

Ajanslar, olası saldırılara engel teşkil etmek için kuruluşlara mümkün olan her yerde çok faktörlü kimlik doğrulamayı kullanmalarını, yönetici ayrıcalıklarının kullanımını sınırlandırmalarını, kimlik avı korumaları uygulamalarını ve istismar edilen bilinen güvenlik açıklarını yamalamaya öncelik vermelerini tavsiye ediyor.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.