07 Mart 2025

Siber Güvenlik Bülteni - Şubat 2025

 

Bültenimizin Şubat Ayı konu başlıkları; 
    • 2025’te Fidye Yazılım Grupları Büyümeye Devam Ediyor
    • Palo Alto PAN-OS Kimlik Doğrulama Bypass Güvenlik Açığı
    • Massive Brute Force Saldırısı, 2.8 milyon IP ile Saldırıyor
    • VO1D Botnet 226 ülkede 1.59m enfekte Android TV Yönetiyor
    • SonicWall Firewall Authentication Bypass Zafiyeti

    2025’te Fidye Yazılım Grupları Büyümeye Devam Ediyor

    2024 yılında küresel fidye yazılımı (ransomware) saldırıları 2023’e göre %11’lik bir artış gösterdi.

    Yılın başında düşük seyreden saldırılar, ikinci çeyrekte (Q2) artış gösterdi ve dördüncü çeyrekte (Q4) zirveye ulaştı. LockBit gibi büyük gruplara yönelik kolluk kuvvetlerinin müdahaleleri nedeniyle bu gruplar parçalandı ve daha küçük grupların rekabeti arttı. Sonuç olarak, aktif fidye yazılımı gruplarının sayısı %40 artarak 2023’teki 68’den 2024’te 95’e yükseldi.

    Yeni Fidye Yazılımı Grupları

    2023 yılında 27 yeni fidye yazılımı grubu ortaya çıkmışken, 2024'te bu sayı büyük bir artış göstererek 46’ya ulaştı. Özellikle yılın ilerleyen dönemlerinde, Q4 2024 itibarıyla 48 aktif fidye yazılımı grubu tespit edildi.

    2024 yılında ortaya çıkan 46 yeni grup içinde RansomHub, en baskın hale gelerek LockBit'in faaliyetlerini geride bıraktı. Bu yazıda, RansomHub, Fog ve Lynx adlı yeni oyuncuları ve 2024 üzerindeki etkilerini, kökenlerini ve saldırı taktiklerini inceleyeceğiz.
     
    RansomHub

    RansomHub, 2024'ün en büyük fidye yazılımı grubu olarak öne çıktı ve Şubat 2024'teki başlangıcından itibaren 531 saldırı gerçekleştirdi. FBI’ın ALPHV'yi çökertmesinin ardından, RansomHub onun "manevi halefi" olarak görülüyor ve eski ALPHV ortaklarını içerdiği düşünülüyor.
    Bir Hizmet Olarak Fidye Yazılımı (RaaS) modeliyle çalışan RansomHub, sıkı ortaklık anlaşmaları uyguluyor. Kurallara uymayan ortaklar, işbirliklerinden men ediliyor. Fidye gelirleri %90 ortaklara, %10 RansomHub ekibine gidiyor.

    RansomHub, küresel bir hacker topluluğuna hitap ettiğini iddia etse de Rusya'ya bağlı ülkelere saldırmıyor (CIS ülkeleri, Küba, Kuzey Kore, Çin ve kâr amacı gütmeyen kuruluşlar). Bu, Rus fidye yazılım ekosistemiyle bağlantılı olabileceğini gösteriyor.

    Cyberint'in Ağustos 2024 bulgularına göre saldırılarının yalnızca %11.2'si ödeme ile sonuçlandı (190 saldırıdan 20’si). RansomHub, az ödeme almasına rağmen yüksek saldırı hacmiyle kârlılığı hedefliyor.
     
    Fog Fidye Yazılımı

    Fog fidye yazılımıNisan 2024'te ortaya çıktı ve özellikle ABD'deki eğitim kurumlarını hedef aldı.
    • Saldırı sayısı: 2024’te 87 kuruluş
    • Saldırı yöntemi: Çalınmış VPN kimlik bilgileri
    • Çift tehdit (double extortion): Ödeme yapılmazsa, veriler TOR tabanlı bir sızıntı sitesinde yayınlanıyor.
    Saldırı yöntemi:

    Arctic Wolf'un Kasım 2024 raporuna göre, Fog 30’dan fazla saldırı gerçekleştirdi ve bunların çoğu SonicWall VPN hesapları üzerinden yapıldı. %75'i Akira fidye yazılımıyla bağlantılı, geri kalanı Fog grubuna ait.
    Fog, eğitim sektörü dışında iş hizmetleri, seyahat ve üretim sektörlerini de hedef alıyor.

    Fog fidye yazılımı, erişim sağladıktan sonra 2 saat içinde şifreleme işlemini tamamlıyor.
     
     
    Lynx Fidye Yazılımı

    Lynx, çift tehdit (double extortion) stratejisi kullanan aktif bir fidye yazılım grubu olarak dikkat çekiyor.
    • 2024’te 70'ten fazla kurbanı oldu.
    • Hedefler: Devlet kurumları, hastaneler, kâr amacı gütmeyen kuruluşlar ve kritik altyapılar dışında birçok sektörü hedef alıyor.
    Saldırı yöntemi:

    Sisteme girdikten sonra .LYNX uzantısı ile dosyaları şifreliyor ve farklı dizinlere README.txt adında fidye notu bırakıyor.
     
     
    2025'te Fidye Yazılımı (Ransomware) Gruplarınde Neler Olacak
     
    • 2025’te RansomHub gibi yeni liderlerin çıkması bekleniyor.
    • Küçük ve orta ölçekli gruplar, daha büyük grupların boşluklarını doldurmak için hızla organize olabilir.
    • Rusya, Çin ve Kuzey Kore gibi devlet destekli grupların daha sofistike saldırılar geliştirmesi bekleniyor.
    • Saldırganlar, daha az tespit edilen sıfır gün açıklarını ve sosyal mühendislik taktiklerini daha sık kullanabilir.
    • Sağlık sektörü, finans, üretim ve eğitim kurumları daha büyük risk altında olacak.
    • Küçük ve orta ölçekli işletmeler (KOBİ'ler) daha fazla hedef alınabilir çünkü genellikle güçlü güvenlik önlemleri bulunmuyor.
    • Çift tehdit (double extortion): Verileri şifrelemenin yanı sıra, çalınan bilgileri sızdırmakla tehdit eden gruplar yaygınlaşacak.
    • Hizmet olarak fidye yazılımı (RaaS) büyümeye devam edecek, bu da fidye yazılımının daha erişilebilir olmasını sağlayacak.
    • Daha fazla şirket APT (İleri Seviye Tehdit Algılama ve Engelleme) çözümlerinesıfır güven mimarisine ve yapay zeka destekli güvenlik çözümlerine yatırım yapacak.
     

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Palo Alto PAN-OS Kimlik Doğrulama Bypass Güvenlik Açığı

    Palo Alto Networks, PAN-OS yazılımında kimlik doğrulama atlamasına neden olabilecek yüksek öneme sahip bir güvenlik açığını giderdi.

    CVE-2025-0108 : Palo Alto Networks PAN-OS yazılımında bulunan bir kimlik doğrulama atlama açığı, yönetim web arayüzüne ağ erişimi olan kimliği doğrulanmamış bir saldırganın, normalde PAN-OS yönetim web arayüzü tarafından talep edilen kimlik doğrulamasını atlamasına ve belirli PHP komut dosyalarını çalıştırmasına olanak tanır.

    Etkilenen PAN-OS Sürümleri
     
    PAN-OS Sürümü Etkilenen Versiyonlar Düzeltildiği Sürüm
    PAN-OS 11.2< 11.2.4-h4>= 11.2.4-h4
    PAN-OS 11.1< 11.1.6-h1>= 11.1.6-h1
    PAN-OS 11.0EOL (Desteklenmiyor)Güncellenmeli
    PAN-OS 10.2< 10.2.13-h3>= 10.2.13-h3
    PAN-OS 10.1< 10.1.14-h9>= 10.1.14-h9

    Güvenlik araştırmacısı Adam Kues, bu açığın, arayüzdeki Nginx ve Apache bileşenlerinin gelen istekleri farklı şekilde ele alması nedeniyle oluşan bir dizin geçiş (directory traversal) saldırısı olduğunu belirtti.

    Diğer Güvenlik Açıkları
    Palo Alto Networks ayrıca şu iki güvenlik açığını da giderdi:

    CVE-2025-0109 (CVSS puanı: 5.5)
    • PAN-OS yönetim web arayüzünde, ağ erişimi olan kimliği doğrulanmamış bir saldırganın "nobody" kullanıcısı olarak belirli dosyaları (bazı loglar ve yapılandırma dosyaları dahil) silmesine olanak tanıyan bir güvenlik açığı.
    • Düzeltildiği sürümler: 11.2.4-h4, 11.1.6-h1, 10.2.13-h3, 10.1.14-h9
    CVE-2025-0110 (CVSS puanı: 7.3)
    • PAN-OS OpenConfig eklentisinde, kimliği doğrulanmış bir yöneticinin gNMI istekleri yaparak sistem kısıtlamalarını atlatmasına ve keyfi komutlar çalıştırmasına olanak tanıyan bir komut enjeksiyonu güvenlik açığı.
    • Düzeltildiği sürüm: PAN-OS OpenConfig Plugin 2.1.2

    Riskin Azaltılması İçin Alınabilecek Önlemler

    Bu güvenlik açıklarından kaynaklanan riski azaltmak için şu adımlar önerilmektedir:
    • İnternete veya güvenilmeyen ağlara açık yönetim arayüzlerini devre dışı bırakmak.
    • OpenConfig kullanmayan müşterilerin bu eklentiyi devre dışı bırakmaları veya kaldırmaları.
     

    CVE-2025-0108 Aktif Olarak Sömürülüyor!

    Tehdit istihbarat firması GreyNoise, Palo Alto Networks PAN-OS’u etkileyen bu yeni kimlik doğrulama atlama açığının aktif olarak sömürüldüğünü bildiriyor.

    GreyNoise tarafından paylaşılan verilere göre, saldırılar ABD, Çin ve İsrail'deki beş benzersiz IP adresinden kaynaklanıyor.

    "Bu yüksek öneme sahip güvenlik açığı, kimliği doğrulanmamış saldırganların belirli PHP komut dosyalarını çalıştırmasına izin vererek, savunmasız sistemlere yetkisiz erişim sağlama potansiyeli taşır."
    — GreyNoise Araştırma Ekibi
     

    Palo Alto Networks'ten Açıklama: Aktif Sömürü Teyit Edildi

    Palo Alto Networks, yaptığı bir açıklamada, CVE-2025-0108 güvenlik açığının aktif olarak sömürüldüğünü doğruladı ve müşterilere derhal güvenlik güncellemelerini uygulamaları çağrısında bulundu:

    "Müşterilerimizin güvenliği en büyük önceliğimizdir. Palo Alto Networks, PAN-OS web yönetim arayüzünde bulunan bir güvenlik açığı (CVE-2025-0108) üzerine aktif sömürü girişimlerinin olduğunu doğrulamıştır.

    Bu güvenlik açığı, CVE-2024-9474 gibi diğer güvenlik açıklarıyla zincirleme olarak kullanılırsa, yamalanmamış ve güvenli olmayan güvenlik duvarlarına yetkisiz erişim sağlanabilir."
     

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Massive Brute Force Saldırısı, 2.8 milyon IP ile Saldırıyor

    Palo Alto Networks, Ivanti ve SonicWall gibi birçok ağ cihazının kimlik bilgilerini tahmin etmeye çalışan, 2,8 milyon IP adresi kullanılarak gerçekleştirilen büyük ölçekli bir brute force şifre saldırısı devam ediyor.

    Brute force saldırısı, tehdit aktörlerinin birçok kullanıcı adı ve parola kombinasyonunu tekrar tekrar deneyerek doğru olanı bulmaya çalıştıkları bir saldırı türüdür. Doğru kimlik bilgilerine eriştiklerinde, saldırganlar cihazları ele geçirebilir veya bir ağa erişim sağlayabilirler.

    Bu IP adreslerinin çoğu (1,1 milyonuBrezilya'dan, ardından Türkiye, Rusya, Arjantin, Fas ve Meksika’dan geliyor. Ancak saldırılara çok sayıda farklı ülkeden katılım olduğu belirtiliyor.

    Hedeflenen Cihazlar ve Kullanılan Araçlar

    Bu saldırılar güvenlik duvarları (firewall), VPN’ler, ağ geçitleri (gateway) ve diğer güvenlik cihazları gibi internete açık kenar (edge) güvenlik cihazlarını hedef alıyor. Bu cihazlar genellikle uzaktan erişimi kolaylaştırmak amacıyla internete maruz bırakılıyor.

    Saldırıları gerçekleştiren cihazlar büyük ölçüde MikroTik, Huawei, Cisco, Boa ve ZTE yönlendiriciler (router) ve IoT cihazlarıdır. Bu tür cihazlar genellikle büyük kötü amaçlı yazılım botnetleri tarafından ele geçirilmiş oluyor.
     
     
    Botnet ve Residential Proxy Kullanımı

    Shadowserver ayrıca saldırı gerçekleştiren IP adreslerinin birçok farklı ağ ve Otonom Sistem (AS) arasında dağıldığını ve büyük olasılıkla bir botnet veya residential proxy (ev tipi vekil sunucu) ağıyla ilişkili olduğunu belirtti.

    Residential proxy’ler, internet servis sağlayıcıları (ISP) tarafından tüketici müşterilerine atanan IP adresleridir ve bu nedenle siber suç, veri kazıma (scraping), coğrafi kısıtlamaları aşma, reklam doğrulama, sneaker/ticket botları gibi birçok yasa dışı faaliyet için oldukça rağbet görmektedir.

    Bu proxy’ler internet trafiğini ev ağları üzerinden yönlendirerek, kullanıcının bir bot, veri kazıyıcı veya hacker yerine sıradan bir ev kullanıcısı gibi görünmesini sağlar.

    Bu saldırılarda hedef alınan ağ geçidi cihazları (gateway), residential proxy operasyonlarında bir çıkış noktası olarak kullanılabilir ve bu da kötü amaçlı trafiğin bir kurumsal ağ üzerinden yönlendirilmesine yol açabilir.

    Bu tür düğümler (nodes) “yüksek kaliteli” olarak kabul edilir, çünkü organizasyonların genellikle iyi bir itibarı vardır ve saldırıları tespit etmek ve durdurmak daha zordur.
     
     
    Geçmişteki Benzer Büyük Ölçekli Brute Force Saldırıları
     
     
    📌 Geçen Nisan ayında, Cisco dünya çapında Cisco, CheckPoint, Fortinet, SonicWall ve Ubiquiti cihazlarını hedef alan büyük ölçekli bir kimlik bilgisi brute force saldırısı hakkında uyarıda bulunmuştu.

    📌 Geçen Aralık ayında ise, Citrix dünya çapında Citrix Netscaler cihazlarını hedef alan parola püskürtme (password spray) saldırıları konusunda uyarılar yayınlamıştı.

    VO1D Botnet 226 ülkede 1.59m enfekte Android TV Yönetiyor

    Brezilya, Güney Afrika, Endonezya, Arjantin ve Tayland, Vo1d adlı bir botnet zararlısı tarafından enfekte edilen Android TV cihazlarını hedef alan bir kampanyanın odak noktası haline geldi.

    Vo1d'un geliştirilmiş varyantının, günlük 800.000 aktif IP adresini kapsadığı ve botnet'in 19 Ocak 2025'te 1.590.299 zirveye ulaştığı bildirildi. Bu saldırılar, 226 ülke ve bölgeye yayılmış durumda25 Şubat 2025 itibarıyla, Hindistan’da enfekte olan cihazların oranı %1’in altındayken (3.901 cihaz), %18,17’ye (217.771 cihaz) yükseldi.

    QiAnXin XLab; "Vo1d, gizlilik, dayanıklılık ve tespit edilmezlik yeteneklerini geliştirmek için evrim geçirdi, RSA şifreleme, ağ iletişimini güvence altına alarak komuta ve kontrol (C2) sunucusunun ele geçirilmesini önlüyor. Her yük, XXTEA şifreleme ve RSA korumalı anahtarlar içeren benzersiz bir indirici kullanıyor, bu da analiz edilmesini zorlaştırıyor."

    Bu zararlı yazılım ilk olarak Eylül 2024'te Doctor Web tarafından belgelendi ve Android tabanlı TV kutularına yönelik bir arka kapı olarak tanımlandı. C2 sunucusundan gelen talimatlara göre ek çalıştırılabilir dosyalar indirip çalıştırma yeteneğine sahip.

    Cihazların nasıl ele geçirildiği tam olarak belli değil, ancak tedarik zinciri saldırısı veya yerleşik root erişimi içeren resmi olmayan üretici yazılımı (firmware) kullanımı ihtimali üzerinde duruluyor.

    Google, The Hacker News’e yaptığı açıklamada, enfekte cihazların "markasız" TV modelleri olduğunu, Play Protect sertifikasına sahip Android cihazlar olmadığını ve büyük ihtimalle Android Açık Kaynak Projesi (AOSP) kod deposundan alınan kaynak kodu kullandıklarını belirtti.

    Bu zararlı yazılım kampanyasının büyük ölçekli bir operasyon olarak yürütüldüğü ve temel amacının bir vekil (proxy) ağı oluşturmak ve reklam tıklama dolandırıcılığı yapmak olduğu belirtiliyor.

    XLab, botnet’in bölgesel olarak suç örgütlerine kiralandığını, bu yüzden aktivitenin dalgalanma gösterdiğini öne sürüyor. Bu model, "kira-iade" döngüsü (rental-return cycle) olarak tanımlanıyor; yani botlar belli bir süre boyunca yasa dışı operasyonlara olanak sağlıyor, ardından daha büyük Vo1d ağına geri katılıyor.

    Bu yük, C2 sunucusuyla iletişim kurmak için tasarlanmıştır. Şifrelenmiş sıkıştırılmış paket (ts01) şu dört dosyayı içerir:
    • install.sh
    • cv
    • vo1d
    • x.apk
    Zararlı yazılım öncelikle bir kabuk betiği (shell script) çalıştırarak cv bileşenini başlatır. Bu bileşen daha sonra hem vo1d modülünü hem de Android uygulamasını kurup çalıştırır.

    Vo1d modülünün ana işlevi, gömülü bir yükü (payload) şifreyi çözüp yüklemek, bir arka kapı oluşturmak ve C2 sunucusuyla iletişim sağlayarak yeni zararlıları indirmek ve çalıştırmaktır.
     
     
    Zararlı Android Uygulaması: Sahte Google Play Hizmetleri

    Zararlı Android uygulaması, "com.google.android.gms.stable" paket adını taşıyor, bu da gerçek Google Play Hizmetleri’ni ("com.google.android.gms") taklit etmek amacı taşıyor.
    Bu sayede tespit edilmekten kaçınarak sistemde kalıcı hale geliyor. Bunu yapmak için cihaz her yeniden başlatıldığında otomatik olarak çalışmasını sağlayan "BOOT_COMPLETED" olayını dinliyor.

    Ayrıca vo1d modülüne benzer işlevlere sahip iki ek bileşeni başlatıyor.

    Vo1d'un hizmetlerinin diğer tehdit aktörlerine kiralanıyor olabileceği düşünülüyor.

    SonicWall Firewall Authentication Bypass Zafiyeti

    Siber güvenlik firmaları, CVE-2024-53704 olarak izlenen SonicWall güvenlik duvarlarındaki kritik kimlik doğrulama atlatma açığının artık gerçek saldırılarda aktif olarak kullanıldığını bildirdi.

    Bu saldırılardaki artış, 10 Şubat 2025'te Bishop Fox araştırmacıları tarafından kamuya açık olarak yayınlanan kanıtlanmış kavram (PoC) sömürü kodunun ardından hız kazandı ve yamalanmamış cihazları olan kuruluşlar için riskleri artırdı.

    CVE-2024-53704CVSS ölçeğinde 9,3 puanla derecelendirilen ve SonicOS işletim sisteminin SSL VPN kimlik doğrulama mekanizmasında bulunan bir güvenlik açığıdır. Bu işletim sistemi, SonicWall’ın Gen 6, Gen 7 ve TZ80 güvenlik duvarlarını çalıştırmaktadır.

    Bu açığın başarılı bir şekilde sömürülmesi, çok faktörlü kimlik doğrulamanın (MFA) atlatılmasına, özel ağ yollarının açığa çıkmasına ve yetkisiz kullanıcıların iç kaynaklara erişmesine olanak tanır. Ayrıca, ele geçirilen oturumlar sayesinde tehdit aktörleri meşru kullanıcı bağlantılarını sonlandırabilir.

    CVE-2024-53704’ün Gerçek Saldırılarda Kullanımı

    SonicWall, bu güvenlik açığını 7 Ocak 2025'te açıkladı ve derhal yamaların uygulanması gerektiğini duyurdu. O dönemde, şirket bu açığın aktif olarak sömürüldüğüne dair bir kanıt olmadığını belirtmişti.

    Ancak Bishop Fox’un PoC yayınlaması, saldırganlar için sömürme eşiğini önemli ölçüde düşürdü.
    • 12 Şubat itibarıyla, Arctic Wolf güvenlik araştırmacıları, öncelikli olarak sanal özel sunucular (VPS) üzerinden gelen ondan az farklı IP adresinden saldırı girişimleri tespit etti.
    • Güvenlik analistleri, SonicWall cihazlarının tarihsel olarak fidye yazılım grupları (Akira, Fog) tarafından hedef alınması nedeniyle güvenlik açığının hızla silahlandırıldığını belirtiyor.
    Etkilenen firmware sürümleri:
    • SonicOS 7.1.x (7.1.1-7058’e kadar)
    • SonicOS 7.1.2-7019
    • SonicOS 8.0.0-8035
    Yamalanmış sürümler, Ocak 2025'te yayınlandı:
    • SonicOS 8.0.0-8037
    • SonicOS 7.1.3-7015

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    Yayınlayan: Yayın Tarihi:
    Labels: , , , ,
    Kaydol: Kayıtlar (Atom)

    Popüler Yayınlar