07 Ekim 2022

Siber Güvenlik Bülteni - Eylül 2022

 

Bültenimizin Eylül ayı konu başlıkları; 
    • Microsoft Exchange Zafiyetleri İstismar Edildi
    • LastPass Ağında 4 Gün
    • Uber'de Güvenlik İhlali
    • Cisco'da Fidye Yazılımı Krizi

    Microsoft Exchange Zafiyetleri İstismar Edildi

    Microsoft, Exchange Server 2013, 2016 ve 2019 versiyonlarında, yakın zamanda ortaya çıkan iki farklı sıfır gün (zero-day) güvenlik açığının istismar edildiğini doğruladı.

    CVE-2022-41040 (SSRF) ve CVE-2022-41082 (RCE) zafiyetleri ile ilgili (yazımız hazırlanırken henüz bir yama yayınlanmamış idi) gelişmeleri aşağıdaki linkler üzerinden takip edebilirsiniz.

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

    Microsoft, Exchange müşterilerinin "URL Rewrite Instructions" konusunun incelenmesini ve uygulanmasını, açık olan Uzak PowerShell portlarının ise engellenmesini öneriyor.

    Bilinen Saldırı Metotlarını Engelleme için ise; IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions bölümüne engelleme kuralı eklenmesi gerekmekte.


    Güvenlik Açığı Bulunan Sunucularda;

    1. IIS Manager açın
    2. Default Web Site'ı genişletin
    3. Autodiscover seçin
    4. Feature View menüsünde URL Rewrite'ı tıklayın
    5. Sağ taraftaki Action bölmesinde, Add Rules'ı tıklayın
    6. Request Blocking'i seçin ve tamam'a tıklayın
    7. String olarak .*autodiscover\.json.*\@.*Powershell.*” ekleyin ve tamam'a tıklayın.
    8. Kuralları genişletin ve ".*autodiscover\.json.*\@.*Powershell.*" kuralını seçin ve Edit under Conditions'a tıklayın.
    9. {URL} olan koşul girişini {REQUEST_URI} ile değiştirin.


    Uzaktan PowerShell erişimini engellemek için ise HTTP: 5985 HTTPS: 5986 portlarını engelleyin.


    Exchange sunucularınızın ihlalinin kontrol etmek için IIS günlük dosyalarında tarama için aşağıdaki PowerShell komutunu çalıştırabilirsiniz.

    Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

    LastPass Ağında 4 Gün

    LastPass, Ağustos ayında yaşadığı güvenlik ihlalinde saldırganların tespit edilip, sistemden temizlenene kadar yaklaşık 4 gün ağda kaldıklarını açıkladı.

    Geçtiğimiz aylarda LastPass, sistemlerine izinsiz erişim olduğunu tespit ettiğini açıkladı, saldırganların müşteri verilerine veya şifreli parola kasalarına erişimine dairse herhangi bir kanıt olmadığını açıkladı. Ayrıca bu saldırıda saldırganların geliştirme ortamına girdiği de belirtildi.

    Yapılan araştırmalardan, saldırganın LastPass yazılım geliştiricisinin hesabını ele geçirmesi yoluyla geliştirme ortamına ağ erişimi sağladığı tespit edildi. Bu erişim sonucunda kaynak kodun bir kısmının ve bazı özel teknik bilgilerin de sızdırıldığı düşünülüyor.

    LastPass'in dünya çapında 30 milyondan fazla kullanıcısı bulunuyor. LastPass kullanıcılarının -henüz devrede değil ise- 2 adımlı doğrulamayı mutlaka devreye almasını öneriyoruz.

    Kullanıcıların bu türde bir saldırıda alabileceği en etkili önlem 2 adımlı doğrulama sistemini kullanmaktır. Kullanıcıların bu veya benzeri tüm üye olunarak kullandıkları servislerde -eğer varsa- 2 adımlı doğrulamayı mutlaka devreye almasını önermekteyiz.

    Uber'de Güvenlik İhlali

    Dünyanın en büyük taksi servisi Uber tekrar hacklendi. 2016 yılında hacklenen ve bunu gizleyen ve hackerlara bunun için ödeme yapan Uber yeni bir saldırı ile karşı karşıya kaldı.

    Bu tür saldırıları gizlemesi ile bilinen Uber, bu seferki saldırının açığa çıkmasıyla bir açıklama yaparak tekrar sessizliğe büründü.

    Uber çalışanlarından olan bir kişiye yapılan sosyal mühendislik saldırısı ile erişim bilgilerine ulaşıldı ve yetki sağlandı. Bu yetki ile izinsiz şekilde şirkete ait Slack kanallarına, yedeklenmiş dosyalara, müşteri kayıtlarına, Amazon Web Servislerine erişim bilgilerine, şirket sistemlerine ait zafiyet raporları gibi oldukça kritik bilgilere erişildi.

    Bu bilgilerin sosyal medya üzerinde bir hesap tarafından ekran görüntüleri ile paylaşılmasından sonra da Uber saldırıyı doğruladı.

    ---
    Firmalarda personelin, bayilerin veya tedarikçilerin kullanımına özgü olan, halkın geneline açık olmayan sunuculara daha güvenli erişim sağlanabilmesi, bu tip saldırılara karşı ek bir güvenlik katmanı olarak koruma sağlaması amacıyla geliştirdiğimiz son ürünümüz TINA Güvenlik Katmanı hakkında bilgi almak ve İnternet üzerinden gelebilecek olan saldırılara karşı mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşabilmemiz için ONLINE TANITIM talebini buradan başlatabilirsiniz.

    Cisco'da Fidye Yazılımı Krizi

    Ağustos ayında Cisco bir güvenlik ihlali açıkladı, Yanluowang fidye yazılımı çetesi Mayıs sonunda şirket ağını ihlal ederek, şirket sunucularından birçok veriyi sızdırdı.

    Cisco güvenlik ekipleri yaptıkları inceleme sonucunda şirket çalışanlarından bir kişinin kişisel hesabına erişim sağlanması sonucunda, 2 adımlı doğrulamanın da sosyal mühendislik ile atlatması yoluyla saldırgan grubun şirket hesaplarına da erişim sağladığını belirtti.

    Kullanıcının VPN hesabı ile firma ağına sızan saldırgan grup, LogMeIn, TeamViewer, Cobalt Strike, PowerSploit, Mimikatz ve İmpacket gibi araçlar ile de ağa erişimini güçlendirdi.

    Saldırgan grup, gizli belgeler, teknik şemalar ve kaynak kodu içeren 55 GB'lik dosya sızdırdığını iddia etmekte, ancak Cisco bunu reddederek  çalınan verilerin hassas bilgiler içermediğini ve güvenlik ihlalinin işletme üzerinde hiçbir etkisi olmadığını belirtti.

    Siber Saldırılara Karşı
    TINA Çözümlerimiz

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

    03 Ağustos 2022

    Siber Güvenlik Bülteni - Temmuz 2022

    Bültenimizin Temmuz ayına ait başlıkları; 
      • Bir Milyar Kişinin Verileri Sızdırıldı
      • AstraLocker Fidye Yazılımı Operasyonlarını Durdurdu
      • Fortinet Yüksek Güvenlik Açıkları İçin Yama Yayınladı
      • Sahte İş İlanları Can Yakmaya Devam Ediyor
      • FileWawe Güvenlik Zafiyetleri Mobil Cihazlarda Tam Kontrol Sağlıyor

       Bir Milyar Kişinin Verileri Sızdırıldı.

      Veri sızıntı haberlerini neredeyse her gün görmeye başladık. Big Data (büyük veri) kavramıyla birlikte yoğun olarak veriler dijital ortama aktarılmaya başlandı. Bu dijitalleşme esnasında ise veriler yönetilemeyen ve korunamayan bir hale geldi. Bu durumun son vakası da şimdiye kadar en büyük ihlallerden biri olan 1 milyara yakın Çin vatandaşının verilerinin ifşası oldu.
       
      Veri sızıntısının Polis sisteminde tespit edilen bir arka kapı aracılığıyla gerçekleştiği düşünülmektedir. Online olarak yayınlanan veritabanında kullanıcılar istediği kişinin verilerine ulaşabilir hale geldi. Bir hacker forumunda 23 terabayttan fazla verinin de "10 BTC karşılığı satılık" ilanı verilmesi sonucu web sitesi erişime kapatıldı.

      Çalınan veritabanının Şanghay polisi tarafından derlendiği ve veritabanında vatandaş isimleri, adresleri, cep telefonları, ulusal kimlik numaraları, doğum tarihleri ve yerleşim yerlerinin yanı sıra polis ile yapılan telefon görüşmesi kayıtlarının da yer aldığı iddia edildi.

      AstraLocker Fidye Yazılımı Operasyonlarını Durdurdu

      Fidye yazılımı saldırıları ve talep edilen miktarlar artmaya ve boyut değiştirmeye devam ediyor.

      Fidye yazılımı grubu AstraLocker geçtiğimiz ay fidye saldırılarını durdurduğunu ve daha önceki saldırılara ilişkin şifre çözücülerini yayınladığını duyurdu. Artık fidye yazılımları yerine, operasyonlarına kripto hırsızlığı tarafında devam edeceğini açıkladı.

      Daha önce bu tür karar alan gruplara yine şahit olmuştuk, bunların altındaki en büyük neden kolluk kuvvetlerinin yoğun baskılarının ve çalışmalarının olduğunu biliyoruz. Fakat bazı grupların operasyonları durdurma kararı sonrası, ekipten ayrılanların yine farklı gruplar halinde saldırılara devam ettiği de görülmektedir.

      AstraLocker 2.0 adıyla Microsoft Word belgeleri kullanarak oltalama saldırılarıyla karşılaşmıştık. Birçok fidye yazılımı grubu gibi AstraLocker'ın da Monero kullandığı bilinmektedir.

      Fortinet Yüksek Güvenlik Açıkları İçin Yama Yayınladı

      Fortinet çeşitli ürünlerinde çıkan zafiyetler için yama yayınladı. Bu zafiyetlerden etkilenen ürünler; FortiADC, FortiAnalyzer, FortiManager, FortiOS, FortiProxy, FortiClient, FortiDeceptor, FortiEDR, FortiNAC, FortiSwitch, FortiRecorder ve FortiVoiceEnterprise.

      Yaması yayınlanan zafiyetlerin 4'ü yüksek önem derecesine sahiptir, bunlar; CVE-2022-26117CVE-2021-43072, CVE-2022-30302 ve CVE-2021-41031'dir.

      Daha öncede Fortinet VPN cihazlarındaki zafiyetler kullanılarak, iç ağa sızılmış ve fidye yazılımı saldırısı gerçekleştirilmiş, birçok şirket mağdur olmuştu.


      Bu tür saldırılardan etkilenmemek, dışarıya açık sistemlerinizin güvenliğini sağlamak için en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

      Sahte İş İlanları Can Yakmaya Devam Ediyor

      Pandemi dönemiyle birlikte ülkemizde de uzaktan çalışma popüler hale geldi. Pandeminin son günlerde vaka sayılarının azalmasıyla birçok şirket ofislerine dönmeye başladı ve bazı çalışanlar bu durumdan çokta memnun kalmadı ve yeni iş arayışına girmeye başladı.

      Tam da buradaki insan odaklı zafiyeti gören saldırgan gruplar sahte iş ilanları oluşturup, bir başvuru formu gibi PDF olarak görünen zararlı yazılımları göndermeye başladı. Çok iyi ücretler ve imkanlar teklif eden saldırgan gruplar ağına birçok kıdemli çalışanı düşürmeyi başardı. Bu süreçte ağırlıklı kripto para borsalarında çalışanlara gerçekleştirilen saldırılar ile ağa sızan saldırgan gruplar kripto borsalarından milyonlarca dolarlık kripto para çaldılar.

      Ayrıca yapılan açıklamada blok zinciri projelerinin bu tür saldırılar ve zafiyetlerden kaynaklı kaybının yılın ilk altı ayında 2 milyar dolardan fazla olduğu belirtiliyor.

      Benzer saldırıları da yoğun olarak ülkemizde görmekteyiz. Kullanıcıları hedefleyen saldırganların en aktif kullandığı alanlar E-posta, Linkedin ve SMS olarak karşımıza çıkıyor. Kullanıcılara özel olarak hazırlanmış dosyaları veya linkleri paylaşan saldırgan gruplar, bu kullanıcılar aracılığıyla hem kullanıcıları hem de çalıştıkları şirkete sızmaya olanak sağlamış oluyor.

      FileWawe Güvenlik Zafiyetleri Mobil Cihazlarda Tam Kontrol Sağlıyor

      Şirketlerin akıllı cihazlara olan ihtiyacı her geçen gün artıyor. Bu cihazlara olan ihtiyaçlar haliyle kurumların dışarı açık başka bir kapı oluşturuyor, bunun için ise birçok kurum cihazların güvenliğini sağlamak adına MDM Cihaz Yönetimi (Mobile Device Management) çözümlerine başvuruyor.  Bu çözümler sayesinde BT ekibi merkezi bir sunucu üzerinden cihazların işletim sistemlerinin, güncellemelerin ve kullanılan uygulamaların yönetilmesine olanak sağlıyor ve şirketler bu şekilde hem cihazları hem de çalışanlarını ve bilgilerini kontrol altına alabiliyor. 

      Geçtiğimiz hafta FileWave'in MDM ürününde iki kritik zafiyet tespit edildi; kimlik doğrulama atlatma zafiyeti (CVE-2022-34907) ve sabit kodlanmış şifreleme anahtarı zafiyeti (CVE-2022-34906). Araştırmalara göre ürünü kullanan büyük işletmeler, eğitim ve devlet kurumları da dahil 1.100'den fazla kurum bu zafiyetlere maruz kaldı ve/veya kalabilir durumda.

      Şirket hızlıca bir güncelleme yayınladı ve kullanıcıların acil olarak sürümlerini güncellemelerini önerdi. Bu tür 3. parti ürünlerin güvenlik amaçlı kullanımı sırasında bir anda bir silaha dönüşebileceğinin farkında olunması ve bu doğrultuda planlama yapılmasının unutulmaması gerekiyor.

      Bu zafiyetler sonucu kurum ağına sızılarak tüm ağda tam yetki tanımı yapılarak ağda istenilen aksiyon alınabilir, bu testlerde ise kanıtlandı ve kurum ağında yetkiyi alan güvenlik uzmanları tüm ağa ransomware bulaştırmayı başardı.

      Geçtiğimiz yıl Kaseya tarafındaki zafiyet aracılığıyla birçok kurum etkilenmiş ve bizlere tekrar 3. parti firmalar ile olan çalışmalarda da ne kadar dikkatli olmamız gerektiğini göstermişti.

      Siber Saldırılara Karşı
      TINA Çözümlerimiz

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

      06 Temmuz 2022

      Siber Güvenlik Bülteni - Haziran 2022

       

      Bültenimizin Haziran ayına ait başlıkları; 
        • Fidye Yazılım Grupları Taktik Değiştiriyor
        • VPN Servisleri Dert Açmaya Devam Ediyor
        • 900.000 Kubernetes Kümesi Açığa Çıktı
        • QNAP NAS Cihazları Tekrar Hedef Oldu
        • Tedarikçi Saldırıları Artıyor

        Fidye Yazılım Grupları Taktik Değiştiriyor

        Saldırgan çeteler, gelirleri birçok kurumsal şirketi geçmesine rağmen, her geçen gün saldırı ölçeklerini artırmaya ve daha da acımasız olmaya devam ediyorlar.


        Fidye yazılımı çeteleri bilindiği üzere kurum ağına sızarak, bilgileri şifreler ve çalar. Sızma metotları ise değişiklik göstermektedir. Kimi zaman çalışanlar hedeflenerek e-posta aracılığı ile, kimi zaman kurum dışarısına açık olan zayıf parolalı veya parolasız sistemler üzerinden gerçekleşir. Fakat özellikle son zamanlarda dışarıya açık olan VPN servislerinde çıkan zafiyetleri kullanarak sisteme sızmaktadırlar.

        ALPHV fidye yazılımı çetesi diğer adıyla BlackCat yeni bir metoda imza attı ve bir veritabanı web sayfası oluşturdu. Bu şekilde herhangi bir kurum veya bir personel kendi ile alakalı çalınmış bir veri var mı diye aratabiliyor, buradaki amaç ise KVKK/GDPR gibi otoriterelere olan yükümlülüğü kullanarak fidye saldırısına uğramış kurumların hızlıca ödeme yapıp bu veritabanından kendisini kaldırılmasını sağlamak.

        Bu yeni metot ilk kez bir otel saldırısı sonrasında gerçekleşti. Otele sızan grup çaldıkları otelde kalanlar listesi, çalışanların sosyal güvenlik numaraları ve Spa kullanan müşteri listelerini arama yaparak kontrol etme imkanı sağladı. Bu web sayfasının İnternet'e açık olması dolayısıyla, yakın zamanda ifşa olmuş birçok kurumun verilerinin arama motorlarında da listeleneceğini söylemek zor değil.

        VPN Servisleri Dert Açmaya Devam Ediyor

        Kurumlar pandemi öncesinde aktif olarak kullandıkları VPN servislerini, pandemi ile beraber vazgeçilmez bir noktaya taşıdılar. Bu durumdan ise en çok faydalanan kurumlar veya çalışanların aksine siber saldırganlar oldu.

        Son zafiyet ise Cisco'da tespit edildi. CVE-2022-20825 kodunu alan zafiyet, CVSS 10.0 üzerinden 9.8 önem derecesine sahip. HTTP paketlerinin yetersiz kullanıcı doğrulaması sebebiyle, dışarıya açık olan web yönetim arabirimine özel hazırlanmış bir istek gönderilerek, kök düzeyinde komut çalıştırmaya imkan sağlamaktadır. Buna rağmen Cisco, etkilenen sistemlerinden Small Business RV ürünlerinin desteği biten sürümleri için herhangi bir yama yayınlamayacağını açıkladı.

        Yapılan araştırmalara göre;
        • Kurumların yaklaşık %93'ü aktif olarak VPN servislerini kullanıyor.
        • Kurumların %72'si VPN servislerinin açık olmasından ve çıkan zafiyetlerden dolayı siber vakalardan endişe duyuyor.
        • Kurumların %67'sinin geleneksel VPN kullanmanın ötesinde bir alternatif arayışı sürüyor.
        • Kurumların %59'u VPN servislerinde çıkan zafiyetlerden dolayı Zero Trust (Sıfır Güven) gibi ek güvenlik yaklaşımlarına geçiş çalışmaları yapıyor.
        • Gartner raporuna göre ise 2023 yılında kurumların %60'ının VPN'leri aşamalı olarak kaldırıp, Zero Trust Network Access (Sıfır Güven Ağ Erişimi) teknolojilerine geçiş yapacağını öngörüyor.

        900.000 Kubernetes Kümesi Açığa Çıktı

        Bulut teknolojilerin kullanımının artması hayatımızda birçok teknolojik çözümünde evrilmesine sebep oldu, bunlardan öne çıkan başlıca teknolojilerden birisi de şüphesiz ki Kubernetes'dir.

        Bu tür teknolojilere geçişlerin plansız ve uzman olmayan ekipler tarafından yönetiliyor olması ise yeni siber dünyadaki en son büyük risk olarak ortaya çıkıyor. Son bulguya göre yanlış yapılandırılmış 900.000 Kubernetes Kümesi dışarıya açık hale geldi, bu servislerin dışarı açılması şirketleri siber saldırıya maruz bırakıyor.

        Arama motorları üzerinden ve tarama araçlarıyla internete açık hale gelen %65'i (585.000) ABD, %14'ü Çin, %9'u Almanya, %6'sı Hollanda ve İrlanda'dan olmak üzere 900.000 Kubernetes Kümesi siber saldırıya açık halde bulunmaktadır. Bunların içerisinde veri ifşasına sebep olan birçok kümede de yer almaktadır.

        Açıkta bulunan sunucular arasında  en fazla kullanılan TCP portları 443, 10250 ve 6443 olarak yer almaktadır. Bu sunucular üzerinde direkt ele geçirilmesini engelleyen korumalar mevcuttur, fakat uzaktan sömürülebilir bir zafiyetin çıkmasıyla büyük veri hırsızlığına uğrayacaktır.

        QNAP NAS Cihazları Tekrar Hedef Oldu

        Geçtiğimiz dönemlerde yedekleme sistemi QNAP NAS cihazlarının çokça hedeflendiğini biliyoruz. Fidye yazılımı grubu ech0raix diğer adıyla QNAPCrypt, tekrar QNAP NAS sistemlerini hedeflemeye başladı. İnternete açık olan NAS cihazlarını hedefleyen grup bruteforce (kaba kuvvet) yöntemiyle 2019 yılından itibaren QNAP müşterilerine büyük ölçekli saldırılar gerçekleştirdi.

        QNAP'ı periyodik olarak hedefleyen grup Şubat 2022'den bu yana herhangi bir kayıtlı saldırı gerçekleştirmemiş fakat Haziran 2022 ile birlikte tekrar QNAP sistemlerini hedeflemiştir. Saldırı detayları ile alakalı QNAP tarafından yapılmış henüz bir açıklama bulunmamaktadır.

        NAS'ınızı saldırılara karşı koruma yöntemleri;
         

        • NAS sistemlerinizin güncellemelerini yakından takip ediniz.
        • Hesaplarınız için güçlü bir parola oluşturmalısınız.
        • Çevrimdışı olarak yedeklerinizin kopyalarını alınız.
        • Bruteforce'u engellemek için IP erişim korumasını aktif hale getiriniz.
        • Zero Trust yaklaşım ile dışarı açık olan tüm servislerinizi güvenli hale getiriniz.

        Tedarikçi Saldırıları Artıyor

        Fidye yazılımı grupları her geçen gün saldırı yüzeylerini genişletmeye devam ediyor. Fidye ödemeyi kabul eden kurumlar ile beraber gittikçe zenginleşen gruplar, hem hedef sektörlerini hem de taktiklerini genişletiyor.

        Son kurban ise Toyota Grubu'na ait parça üreticisi Toyota Boshoku'nun bir parçası olan TB Kawashima'nın yan kuruluşlarından biri oldu.

        TB Kawashima, ABD, Çin, Tayland, Endonezya ve Hindistan'da ofisleri ve fabrikaları bulunan otomobiller, uçaklar, trenler ve tiyatrolar için iç mekan kumaşı üretmektedir. Saldırı meşhur Lockbit fidye yazılımı grubu tarafından gerçekleştirildi. TB Kawashima tarafından henüz bir doğrulama gelmese bile Lockbit web sayfasında veritabanını satışa çıkardı. Kurumun web sitesi kapatılırken, hem siber güvenlik ekibi hem de kolluk kuvvetler konuyla alakalı araştırmalara başladı.

        Siber güvenlik üzerine Nisan 2020 ve Şubat 2022 arasında yapılan araştırmalara göre otomotiv ve ulaşım sektöründeki şirketler fidye yazılımı grupları için ilk 3'te yer almaya başladı.

        Daha önce fidye saldırısına uğrayan Tesla, Honda, Nissan, Toyota gibi dünya operasyonları olan şirketleri gördük, fakat tedarikçilerinde hedeflenmesi bu tür dünyaya yaygın operasyonu olan ve buradaki üretime bağlı olarak hareket eden tüm şirketleri ciddi zarara sürüklemekte ve itibar kayıplarına sebebiyet vermektedir.

        Lockbit fidye yazılım grubu ise her geçen gün fidyelerini daha hızlı alabilmek ve daha fazla kuruma erişmek için taktik değiştirmeye devam ediyor, son güncellemede kurumlara sızmak için yeni taktik ve bilgi verenler için "Kötücül - Bug Bounty ödül" programı açtığını duyurmuştu.

        Siber Saldırılara Karşı
        TINA Çözümlerimiz

        Siber Güç etkinliğinde ziyaretçilerimize bahsettiğimiz en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

        27 Haziran 2022

        ToddyCat Hacker Grubu, MS Exchange Sunucularını Hedefliyor

        Çin bağlantılı olduğu düşünülen ToddyCat grubu, ağırlıklı olarak kamu ve askeri kuruluşlar olmak üzere Asya ve Avrupa'yı hedeflemeye devam ediyor.

        Aralık 2020'den beri aktif olarak saldırıları görülüyor. Mart 2021 ProxyLogon zafiyetinden de faydalanarak Asya ve Avrupa'da özel ve kamu kuruluşlarının e-posta sunucularını hedeflediği biliniyor.

        ToddyCat APT
        ToddyCat APT

        ToddyCat grubunun genel olarak kullandığı senaryo; 

        Genel olarak 2 farklı zararlı yazılım kullanıldığı biliniyor, Samurai ve Ninja. 
        Samurai; saldırganlara İnternet'e yönelik Web sunucularında kalıcı erişim sağlamak için tasarlanmış pasif bir arka kapıdır.
        Ninja; güvenliği ihlal edilmiş sistemlerde sömürü sonrası faliyetleri gerçekleştirmek için kullanılan zararlı yazılımdır.

        Dışarı açık olan genellikle 80. ve 443. portlarda çalışan Samurai zararlı yazılımı ile zafiyeti bulunan Microsoft Exchange sunucularını hedefleyerek ProxyLogon zafiyetini kullanarak sistemlere sızdığı ve devamında Ninja yazılımı ile iç ağda yanal hareketler gerçekleştirerek ağdaki diğer sistemlere de ulaşarak ağda yüksek profilli bir kullanıcı hakkı elde ettiği görülüyor. ProxyLogon zafiyetini ilk kullanan gruplardan biri olarak dikkat çekiyor. Uzak sistemleri kontrol etmek, tespit edilmesini engellemek, dosya sızdırmak, proxy bağlantısı ile kendi trafiğini oluşturmak ve hedeflenen ağın derinliklerine sızmak en büyük özellikleri arasında yer alıyor.

        Grup ilk saldırılarında Tayvan ve Vietnam devlet ve askeri kuruluşlarını hedefledi. ProxyLogon zafiyeti sonrasında ise Rusya, Birleşik Krallık, Slovakya, Hindistan, İran, Pakistan, Endonezya ve Malezya gibi ülkelerde de saldırılarına devam etti.

        Bu tür saldırılardan etkilenmemek, dışarıya açık sistemlerinizin güvenliğini sağlamak için BU SALDIRIDA TINA NE FAYDA SAĞLAYABİLİRDİ? alanında çözümlerimizi bulabilirsiniz. bizlerle ZOOM üzerinden de iletişime geçebilirsiniz.



        Ninja C2
        149.28.28[.]159
        eohsdnsaaojrhnqo.windowshost[.]us

        File paths
        C:\inetpub\temp\debug.exe
        C:\Windows\Temp\debug.exe
        C:\Windows\Temp\debug.xml
        C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files\web.exe
        C:\Users\Public\Downloads\dw.exe
        C:\Users\Public\Downloads\chrome.log
        C:\Windows\System32\chr.exe
        C:\googleup.exe
        C:\Program Files\microsoft\exchange server\v15\frontend\httpproxy\owa\auth\googleup.log
        C:\google.exe
        C:\Users\Public\Downloads\x64.exe
        C:\Users\Public\Downloads\1.dll
        C:\Program Files\Common Files\microsoft shared\WMI\iiswmi.dll
        C:\Program Files\Common Files\microsoft shared\Triedit\Triedit.dll
        C:\Program Files\Common Files\System\websvc.dll
        C:\Windows\Microsoft.NET\Framework\sbs_clrhost.dll
        C:\Windows\Microsoft.NET\Framework\sbs_clrhost.dat
        C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files\web.xml
        C:\Users\Public\Downloads\debug.xml
        C:\Users\Public\Downloads\cache.dat
        C:\Windows\System32\config\index.dat
        C:\Windows\Microsoft.NET\Framework\netfx.dat
        %ProgramData%\adobe\2.dll
        %ProgramData%\adobe\acrobat.exe
        %ProgramData%\git\git.exe
        %ProgramData%\intel\mstacx.dll
        %ProgramData%\microsoft\drm\svchost.dll
        %ProgramData%\microsoft\mf\svchost.dll
        %ProgramData%\microsoft\mf\svhost.dll
        %program files%\Common Files\services\System.Core.dll
        %public%\Downloads\1.dll
        %public%\Downloads\config.dll
        %system%\Triedit.dll
        %userprofile%\Downloads\Telegram Desktop\03.09.2021 г.zip
        %userprofile%\Downloads\Telegram Desktop\Тех.Инструкции.zip
        %userprofile%\libraries\1.dll
        %userprofile%\libraries\chrome.exe
        %userprofile%\libraries\chrome.log
        %userprofile%\libraries\config.dll
        C:\intel\2.dll
        C:\intel\86.dll
        C:\intel\x86.dll

        Registry Keys
        $HKLM\System\ControlSet\Services\WebUpdate
        $HKLM\System\ControlSet\Services\PowerService
        $HKLM\SOFTWARE\Classes\Interface\{6FD0637B-85C6-D3A9-CCE9-65A3F73ADED9}
        $HKLM\SOFTWARE\Classes\Interface\{AFDB6869-CAFA-25D2-C0E0-09B80690F21D}







        BU SALDIRIDA TINA NE FAYDA SAĞLAYABİLİRDİ?


        TINA "Breaking The Attack Chain" metodolojisi ile siber savunma sağlar; başarılı bir siber saldırıları için gereken çeşitli aşamaları kırmak ve saldırıyı engellemek üzere farklı teknolojiler üretmektedir. 

        - Görünürlüğü Engelleme: TINA'nın en yeni ürünü ile servislerin İnternet üzerinden görünürlüğü ve erişilebilirliği kontrol edilebilmekte ve saldırı riski minimize edilmektedir.

        - Yatay İlerlemeyi Engelleme: TINA Advanced Threat Protection modelleri, ağ içerisine sızma olması durumunda yatay ilerlemeleri tespit etmektedir.

        - Merkeze Dönüş Bağlantılarını Engelleme: TINA Advanced Threat Protection modelleri, ağ içerisine sızma olması durumunda saldırının devamındaki çalışmalar için gereken merkez ile iletişime geçme (C&C) bağlantılarını engellemek üzere geliştirilmiş teknolojileri de barındırmaktadır.




        Siber Güç etkinliğinde ziyaretçilerimize bahsettiğimiz en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ZOOM toplantı talebini buradan başlatabilirsiniz.

        Popüler Yayınlar