2024 10. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
10.Hafta Siber Güvenlik Haberleri
Haftanın Siber Güvenlik Terimi
Terim |
Açıklama |
Defense-in-depth (Derinlemesine Savunma) |
Güvenlik hedeflerine ulaşmak için birden fazla karşı önlemin katmanlı veya aşamalı bir şekilde uygulanması. Metodoloji, bir teknoloji tarafından kaçırılan saldırıların bir başka teknoloji tarafından yakalanmasını sağlamak için ortak saldırı vektörlerinde heterojen güvenlik teknolojilerinin katmanlandırılmasını içerir. |
Haftanın Exploitleri
Tarih |
Exploit Başlığı |
Tür |
Platform |
28-02-2024 |
Stored XSS |
WordPress |
|
03-03-2024 |
SQL Injection |
Petrol Pump Management Software |
|
05-03-2024 |
Code Execution |
Windows PowerShell |
Haftanın Zararlı Yazılımları
Tarih |
Zararlı Yazılım Başlığı |
Tür |
Hedef |
29-02-2024 |
Arka kapı |
Telekom Ağları |
|
04-03-2024 |
Fidye Yazılımı |
ABD Kritik Altyapı Kuruluşları |
|
05-03-2024 |
Bilgi Hırsızlığı |
ConnectWise ScreenConnect |
Haber Yazısı 1
Araştırmacılar Tarafından, Kritik Altyapıyı Bozmayı Amaçlayan Stuxnet Benzeri PLC Kötü Amaçlı Yazılım Geliştirildi
TARİH: 5 Mart 2024
İçlerinde yerleşik Web sunucuları bulunan programlanabilir mantık denetleyicilerinin (PLC'ler) çoğalması, saldırganlara, kritik altyapı sektörlerindeki endüstriyel kontrol sistemlerine (EKS) yönelik operasyonel teknolojiye (OT) karşı potansiyel olarak yıkıcı, uzaktan saldırılar başlatmanın bir yolunu açıyor.
Tehdidi vurgulamak için Georgia Teknoloji Enstitüsü'nden bir araştırmacı ekibi, bir saldırganın PLC içindeki yerleşik bir Web sunucusuna uzaktan erişmek ve temeldeki fiziksel sisteme saldırmak için kullanabileceği kötü amaçlı yazılım geliştirdi. Araştırmacılar, bir saldırganın kötü amaçlı yazılımı, aktüatörlere giden çıkış sinyallerini manipüle etmek, sensör okumalarını tahrif etmek, güvenlik sistemlerini devre dışı bırakmak ve yaşam kaybı dahil olmak üzere potansiyel olarak yıkıcı sonuçları tetikleyebilecek diğer eylemleri gerçekleştirmek için kullanabileceğini söyledi.
Çoğu PLC kötü amaçlı yazılımı tipik olarak denetleyicilerin ürün yazılımını veya kontrol mantığını etkilerken, yeni Web tabanlı kötü amaçlı yazılım, kötü amaçlı JavaScript ile PLC'lerdeki ön uç Web katmanına saldırarak, bu tür kötü amaçlı kodların geçmişte karşılaştığı bazı sınırlamaları ortadan kaldırıyor.
Araştırmacılar makalelerinde, bir saldırganın Web sunucusuna çeşitli yollarla zararlı kodları uzaktan enjekte ederek PLC'ye ilk erişimi nasıl elde edebileceğini ve ardından alttaki makineyi bozmak için meşru uygulama programlama arayüzlerini (API) nasıl kullanabileceğini açıkladılar.
Geliştirilen Web tabanlı PLC (WB PLC) kötü amaçlı yazılımı, bir saldırganın kontrol ettiği endüstriyel motora fiziksel olarak zarar vermesine, yönetici ayarlarını kötüye kullanmasına ve endüstriyel casusluk amacıyla verileri çalmasına olanak tanıyor.
Tüm bunlara bakıldığında yeni geliştirilen bir PLC kötü amaçlı yazılımı, bir EKS ortamını hedeflemek için fiziksel erişim gerektirmiyor, çoğunlukla platformdan bağımsız ve kritik altyapıyı hedefleyen geleneksel kötü amaçlı yazılımlardan daha dayanıklı.
[1] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 2
Bilgisayar Korsanları, Kimlik Avı Saldırılarında Windows NTLM Kimlik Doğrulama Hash’lerini Çaldı
TARİH: 4 Mart 2024
TA577 olarak bilinen bilgisayar korsanlığı grubu, hesap ele geçirme işlemlerini gerçekleştirmek için NT LAN Manager (NTLM) kimlik doğrulama hashlerini çalmak amacıyla kimlik avı e-postaları kullanarak yakın zamanda taktiklerini değiştirdi.
TA577, daha önce Qbot ile ilişkilendirilen ve Black Basta fidye yazılımı enfeksiyonlarıyla bağlantılı olan bir ilk erişim aracısı (IAB) olarak kabul ediliyor.
E-posta güvenlik firması Proofpoint, TA577'nin yakın zamanda Pikabot'u konuşlandırmayı tercih ettiğini görmesine rağmen, son iki saldırı dalgasının farklı bir taktiği gösterdiğini bildirdi.
26 ve 27 Şubat 2024'te başlatılan farklı TA577 kampanyaları, dünya çapında yüzlerce kuruluşa binlerce mesaj yayarak çalışanların NTLM hashlerini hedef aldı.
NTLM hashleri Windows'ta kimlik doğrulama ve oturum güvenliği için kullanılır ve düz metin parolasını elde etmek amacıyla çevrimdışı parola kırma amacıyla yakalanabilir.
Ek olarak, saldırganların uzak bir sunucu veya hizmette kimlik doğrulaması yapmak için hash değerini olduğu gibi kullandığı, hiçbir şekilde kırma içermeyen " hash geçişi " saldırılarında da kullanılabilirler.
Çalınan hashler, belirli koşullar altında ve yürülükteki güvenlik önlemlerine bağlı olarak, saldırganların ayrıcalıklarını artırmasına, hesapları ele geçirmesine, hassas bilgilere erişmesine, güvenlik ürünlerinden kaçmasına ve ihlal edilen bir ağ içinde yanal olarak hareket etmesine olanak sağlayabilir.
[2] Haber ayrıntılarına buradan ulaşabilirsiniz.