İran’ın ABD hükümetine yönelik saldırısından sonra başka bir Log4Shell uyarısı

Bir VMware Horizon sunucusundaki Adobe Log4j Log4Shell güvenlik açığından yararlanan İranlı bir gelişmiş kalıcı tehdit (APT) aktörünün, adı açıklanmayan bir ABD hükümet kuruluşunu tehlikeye atması, kuruluşların hâlâ son derece tehlikeli olan bu tehdide karşı tetikte olma çağrılarının yenilenmesine yol açtı ve bir açıkta kalan birçok kuruluş arasında yenilenen yama ve düzeltme telaşı.

16 Kasım’da yayınlanan bir siber güvenlik danışma belgesinde (CSA), ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA) ve FBI, Federal Sivil Yürütme Şubesindeki (FCEB) kimliği belirlenemeyen bir örgütün Tahran destekli bir aktör tarafından ele geçirildiğini ortaya çıkardı. Log4Shell’e karşı yamalı olmayan bir VMware Horizon sunucusu aracılığıyla sistemlerine giren .

Olay, 2022 yazında keşfedildi, ancak CISA’nın APT’nin kurbanının ağına eriştiğini ve XMRig kripto madencisini yüklediğini, ardından kimlik bilgilerini tehlikeye attığı ve ardından yerleştirildiği alan denetleyicisine (DC) yanal olarak geçmeden önce Şubat ayında başlamasına rağmen. Ngrok, kalıcılığı korumak için bir dizi ana bilgisayarda proxy’leri tersine çevirir.

CISA danışma belgesinde, “CISA ve FBI, etkilenen VMware sistemlerine sahip olan ve mevcut yamaları veya geçici çözümleri hemen uygulamayan tüm kuruluşları uzlaşma sağlamak ve tehdit avı faaliyetleri başlatmak için teşvik ediyor” dedi.

“IOC’lere dayalı olarak şüphelenilen ilk erişim veya güvenlik ihlali tespit edilirse [indicators of compromise] veya TTP’ler [tactics, techniques and procedures] Bu CSA’da açıklanan CISA ve FBI, kuruluşları tehdit aktörleri tarafından yanal hareket etmeye, DC dahil olmak üzere bağlı sistemleri araştırmaya ve ayrıcalıklı hesapları denetlemeye teşvik eder.

“Belirlenmiş güvenlik ihlali kanıtlarına bakılmaksızın tüm kuruluşlar, benzer kötü niyetli siber faaliyetlere karşı koruma sağlamak için bu CSA’nın hafifletme bölümündeki önerileri uygulamalıdır.”

Henüz yapmadıysanız, kuruluşlar etkilenen VMware Horizon sunucularını ve birleşik erişim ağ geçidi (UAG) sistemlerini derhal en son sürüme güncellemelidir; internete dönük saldırı yüzeylerini en aza indirin; MITRE ATT&CK for Enterprise çerçevesiyle eşlenen davranışlara karşı güvenlik programlarını uygulamak, test etmek ve doğrulamak; ve mevcut kontrolleri açıklanan ATT&CK tekniklerine karşı test edin.

Yazılım geliştirme güvenlik uzmanı Sonatype’ın baş teknoloji sorumlusu Brian Fox, kuruluşunun telemetrisinin, Log4j indirmelerinin %38 ila %40’ının Log4Shell’e karşı hala savunmasız olduğunu gösterdiğini söyledi – bu sayı, belirli bir uzlaşmanın gerçekleştiği Şubat ayında açıkça daha yüksek olurdu.

“APT gruplarının bunu araç setlerinin bir parçası olarak kullanmaya devam etmesi şaşırtıcı değil. Danışma belgesi, sektördeki herkese, özellikle de federal alandakilere, potansiyel olarak savunmasız sürümlere sahip başıboş sistemler bulmaya devam etmeyi gözden kaçırmamaları için bir uyarı işlevi görmelidir” dedi.

“İşte bu yüzden SBOM’lar [software bill of materials] ve kaliteli yazılım bileşimi analizi çözümleri çok önemlidir – geliştiriciler ve kuruluşlar, verimli düzeltmeler ve güvende kalmak için yazılım tedarik zincirlerinin her öğesinde şeffaflığa ihtiyaç duyar.”

Bu özel saldırı, Log4Shell ve diğer yüksek profilli güvenlik açıklarını desteklediği bilinen Secureworks tarafından Cobalt Mirage – diğerleri tarafından Phosphorus ve Charming Kitten – olarak izlenen grubun çalışmasıdır ve ProxyShell, dikkate değer bir favoridir.

Secureworks Karşı Tehdit Birimi, biri fırsatçı olarak BitLocker ve DiskCryptor fidye yazılımını dağıtan ve diğeri istihbarat toplama amaçlarıyla hedeflenen izinsiz girişlere odaklanan iki farklı Cobalt Mirage saldırısı kümesi belirlediğini söyledi.

İsrail örgütlerine saldırmayı tercih ettiğini gösterdi, ancak Asya-Pasifik, Avrupa ve Kuzey Amerika’daki kurbanları vurmaktan da çekinmiyor.

Çetenin farklı bir olay sırasındaki operasyonel güvenlik başarısızlıkları, Cobalt Mirage’ın İran Devrim Muhafızları İstihbarat Teşkilatı (IRGC-IO) ile bağlantılı ve hatta onun tarafından kontrol edilen özel bir yükleniciyle bağlantılı olduğunu ortaya çıkardı.

Secureworks ekibi, “Cephe olarak hareket eden veya İran istihbarat operasyonlarına destek sağlayan özel İran şirketlerinin modeli iyi kurulmuş” diye yazdı.

“İran hükümeti istihbaratının yüklenicileri kullandığı model, hükümetin görevlendirdiği eylemler ile özel şirketin kendi inisiyatifiyle gerçekleştirdiği eylemler arasındaki çizgiyi bulanıklaştırıyor. Cobalt Mirage’ın faaliyetlerinin bir kısmı casusluk odaklı görünse de, önemli bir kısmı fidye yazılımı faaliyetleri yoluyla fırsatçı gelir elde etmeye odaklanıyor.

“Bu şirketler IRGC-IO ile çalışabilirken, fidye yazılımı saldırıları, İran kolluk kuvvetleri tarafından kovuşturma korkusu olmadan takip edebilecekleri başka bir gelir kaynağı olabilir.”

Read Previous

Virgin Media Business Toptan Satış, yeni Ulusal Yüksek Kapasiteli Hizmetler çekirdek ağını başlatıyor

Read Next

NHS Digital, IR35 soruşturmasının sonuçlanmasının ardından HMRC ile 3,95 milyon sterlinlik nihai anlaşmayı onayladı

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

organik hit - iş fikirleri -