btbilgi

Mart ayının ilk haftasında Microsoft’tan gelen bir uyarı siber güvenlik dünyasında epey dalga yaratmıştı. Bu uyarıda Microsoft Exchange sunucu ürünlerinde daha önceden bilinmeyen bir dizi sıfır günü açığı olduğu aktarılmaktaydı. Firma acilen bu açıkları kapatan yamalar hazırlamış ve tüm müşterilerine sunmuştu. Herkesin sunuculara bu yamaları acilen yüklemesi de önemle duyuruldu.

Güvenlik firması ESET bu açıklar kullanılarak gerçekleştirilen saldırılarla ilgili bir araştırma yapmış. Araştırma raporunda 5 binden fazla e-posta sunucusunun etkilendiği aktarılıyor. Sunucuların dünya genelinde aralarında yüksek profile sahip şirketlerin de yer aldığı birçok kuruluşa ve devlet kurumuna ait olduğu belirtilmekte. Ayrıca raporda Microsoft Exchange Server güvenlik açıklarını kullanan siber suç gruplarının ve aktivitelerinin de listesi verilmiş:

Tick

BT hizmetleri sağlayan ve Doğu Asya’da bulunan bir şirketin internet sunucusuna sızmış. LuckyMouse ve Calypso’da olduğu gibi grubun yamalar yayımlanmadan önce sunucuya sızarak erişim sağladığı düşünülüyor.

LuckyMouse

Orta Doğu’daki bir devlet kurumunun e-posta sunucusuna sızmış. Bu APT grubunun yamalar yayımlanmadan en az bir gün önce ve hala sıfır günken sızıntıyı gerçekleştirmiş olması büyük bir olasılık denilmekte.

Calypso

Orta Doğu’daki ve Güney Amerika’daki devlet kurumlarının e-posta sunucularına sızmış. Grubun, sıfır gün olarak sunucuya erişim sağladığı düşünülüyor. Daha sonraki günlerde Calypso operatörleri Afrika, Asya ve Avrupa’daki devlet kurumlarının ve özel şirketlerin diğer sunucularını da hedef aldığı raporlanmış.

Websiic

Asya’da özel şirketlere (BT, iletişim ve mühendislik alanında) ait yedi e-posta sunucusunu ve Doğu Avrupa’daki bir devlet kurumunu hedef almış. ESET bu yeni etkinlik kümesine Websiic adını vermiş.

Winnti Group

Asya’da bir petrol şirketinin ve bir yapı malzemeleri şirketinin e-posta sunucularına sızmış. Grubun yamalar yayımlanmadan önce sunucuya sızarak erişim sağladığı düşünülüyor.

Tonto Team

Doğu Avrupa’da bir tedarik şirketinin ve yazılım geliştirme ve siber güvenlik alanında uzmanlaşmış bir danışmanlık şirketinin e-posta sunucularına sızmış.

ShadowPad

Asya’daki bir yazılım geliştirme şirketinin ve Orta Doğu’daki bir emlak şirketinin e-posta sunucularına sızmış. ESET, ShadowPad arkakapının bir varyasyonunun bilinmeyen bir grup tarafından bırakıldığını tespit etmiş.

“Opera” Cobalt Operation

Yamalar yayımlandıktan yalnızca birkaç saat sonra çoğunlukla Amerika, Almanya, İngiltere ve diğer Avrupa ülkelerindeki 650 civarı sunucuyu hedef almış.

Owlproxy

ESET, bu ihlallerde dört e-posta sürücüsüne ihlallerde kullanılan web kabukları yoluyla yüklenen IIS arka kapıların Asya ve Güney Amerika’da yer aldığını gözlemlemiş. Arka kapılardan biri yaygın olarak Owlproxy olarak biliniyor.

Mikroceen

Orta Asya’daki bir kamu hizmet kuruluşunun exchange sunucusuna sızmış. Bu grubun genellikle bu bölgeyi hedef aldığı belirtiliyor.

DLTMiner

ESET daha önce Microsoft Exchange güvenlik açıkları kullanılarak hedef alınan birçok e-posta sunucusunda PowerShell indirme yazılımı dağıtıldığını tespit etmiş. Bu saldırıda kullanılan ağ altyapısının, daha önce bildiren bir kriptopara madenciliği kampanyasıyla bağlantılı olduğu saptanmış.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.