btbilgi

Mayıs ayında keşfedilen bir dizi yeni siber saldırının, kriptopara madenciliği odaklı kötü niyetli yazılımlarla binlerce kurumsal sistemi etkilediğine inanılıyor. Bulut güvenlik firması Red Canary’nin ortaya çıkardığı saldırı, büyük ihtimalle Blue Mockingbird kod adı verilmiş bir siber suç grubu tarafından düzenlenmekte. Güvenlik analistleri suç grubunun Aralık 2019’dan beri aktif olduğuna inanmakta.

Güvenlik firmasından verilen bilgiye göre, Blue Mockingbird saldırıları ASP.NET uygulamalarını çalıştıran ve kullanıcı arabirimi (UI) bileşeni için Telerik kullanan halka açık sunuculara yönelik gerçekleştirilmekte. Siber suçlular ‘CVE-2019-18935’ kodlu güvenlik açığından faydalanıyor ve hedeflenilen sunucuda bir web shell oluşturuyorlar. Ardından da ‘Juicy Potato’ adı verilen tekniğin bir sürümü aracılığı ile sunucuda yönetici seviyesinde erişim elde elde ediliyor. Sunucu başlatma ayarları değiştiriliyor ve sistem kapatılıp açılsa bile kötü niyetli yazılım sistemde kalarak arka planda çalışmaya devam ediyor.

Siber suçluların asıl niyeti ise sızdıkları kurumsal sunuculara Monero (XMR) kriptopara birimi madenciliği yapacak XMRRig yazılımını yüklemek. Grup sistemden sisteme güvenliğinde sıkıntılar bulunan RDP (Uzak Masaüstü Protokolü) veya SMB (Sunucu İleti Bloğu) bağlantıları aracılığıyla yayılmaya çalıştığı açıklanmış. Grubun kullandığı botnetin şimdiye kadar en az 1.000 sisteme bulaştığı tahmin edilmekte.

Red Canary firması bu yeni tehdit ortamı hakkında sınırlı bilgiye sahip olduklarını ve kapsamını tam olarak bilmenin yolu olmadığını ZDNet’e söylemiş. Fakat güvenlik uzmanları etkilenen şirket sayısının bundan çok daha yüksek olduğuna inanmakta. Hatta kendilerinin güvende olduğuna inanan şirketlerin bile saldırı riski altında olması mümkün denilmekte.

Nisan ayı sonlarında yayınlanan bir ABD Ulusal Güvenlik Ajansı (NSA) raporunda, Telerik UI üzerinde keşfedilmiş CVE-2019-18935 güvenlik açığından bahsedilmekte. Bu açık sunuculara web shell yerleştirmek için en çok kullanılan açıklardan biri olarak listeleniyor. Ayrıca Avustralya Siber Güvenlik Merkezi (ACSC) da bir başka raporunda, aynı güvenlik açığını 2019 ve 2020’de Avustralya kuruluşlarına saldırmak için en çok kullanılan açıklarından biri olarak aktarmakta. Bu sebeple şirketlerin firewall üzerinde bu açığın kapatıldığına ve girişimlerin engellediğine emin olmaları güvenlik firması Rad Canary tarafından önemle tavsiye edilmiş.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.