Haftanın Önemli Gelişmeleri – 13. Hafta

Haftanın Exploitleri

Zabbix 3.4.7 – Stored XSS

Haftanın Zafiyetleri

Rust – CVE-2021-29934

Haftanın Araçları

Search-That-Hash

Brandefense ile siber saldırılara karşı önlem alın!

Finans Sektörü İçin Siber Tehdit Alarmı
Tehdit Gruplarının Türkiye’de Sahte Siber Güvenlik Şirketi Kurduğu ve Saldırılar Gerçekleştirdiği Tespit Edildi

Güvenlik araştırmacıları, Kuzey Kore hükümeti tarafından desteklenen bir tehdit grubunun “SecuriElite” isimli sahte güvenlik şirketi kurduğunu ve ilişkili sosyal medya hesapları açtığını tespit etmiştir. Sahte güvenlik şirketi websitesinde Türkiye’de kurulduğunu ve şirketlere pentest, exploits, assessments hizmetleri verdiğini söylemektedir. Tespit edilen sahte güvenlik şirketinden hangi kurumların etkilendiği henüz bilinmemektedir.

Söz konusu sahte güvenlik şirketinin arkasındaki tehdit aktörlerinin Kuzey Kore olduğu düşünülmektedir. Bunun sebebi, Kuzey Kore’ye ait önceki saldırı senoryalarında sıkça kullandığı bir yöntem olan, web sitesi içerisine tarayıcılara ait güvenlik zafiyetlerini tetikleyen “pgp.txt” dosyalarının bulunmasıdır. Bu sayede saldırganlar onlarla iletişime geçmeye çalışan kullanıcıların\kurumların tarayıcılarına ait güvenlik zafiyetlerini kullanarak kritik verilerini ele geçirmektedir. Ayrıca tehdit aktörlerinin tarayıcılara ait bilinmeyen bir 0-Day güvenlik zafiyetini kullandığı ve saldırı senaryolarının hala devam ettiği söylenmektedir.

Google TAG (Threat Analysis Group), sahte güvenlik şirketine ait hesapları tespit etmiştir. Kritik siber saldırıların kurbanı olmamak adına, tespit edilen hesaplara ve web sitelerine karşı dikkatli olunması önerilmektedir.

Sahte Güvenlik Şirketinin Web Sitesi:

www.securielite[.]com

Twitter Profilleri:

https://twitter.com/alexjoe9983
https://twitter.com/BenH3mmings
https://twitter.com/chape2002
https://twitter.com/julia0235
https://twitter.com/lookworld0821
https://twitter.com/osm4nd
https://twitter.com/seb_lazar
https://twitter.com/securielite

LinkedIn Profilleri:

SecuriElite – https://www.linkedin.com/company/securielite/
Carter Edwards, HR Director @ Trend Macro – https://www.linkedin.com/in/carter-edwards-a99138204/
Colton Perry, Security Researcher – https://www.linkedin.com/in/colton-perry-6a8059204/
Evely Burton, Technical Recruiter @ Malwarebytes – https://www.linkedin.com/in/evely-burton-204b29207/
Osman Demir, CEO @ SecuriElite – https://www.linkedin.com/in/osman-demir-307520209/
Piper Webster, Security Researcher – https://www.linkedin.com/in/piper-webster-192676203/
Sebastian Lazarescue, Security Researcher @ SecuriElite – https://www.linkedin.com/in/sebastian-lazarescue-456840209/

E-Posta Adresleri:

[email protected][.]com
[email protected][.]com
[email protected][.]com

Saldırganların Kullandığı Domain Adresleri:

bestwing[.]org
codebiogblog[.]com
coldpacific[.]com
cutesaucepuppy[.]com
devguardmap[.]org
hireproplus[.]com
hotelboard[.]org
mediterraneanroom[.]org
redeastbay[.]com
regclassboard[.]com
securielite[.]com
spotchannel02[.]com
wileprefgurad[.]net

Apache Tika MP3 Parser Yazılımında Güvenlik Zafiyeti Tespit Edildi
Apache Tika MP3 Parser Yazılımında Güvenlik Zafiyeti Tespit Edildi

Apache Tika, binden fazla farklı dosya türünden (PPT, XLS ve PDF gibi) meta verileri ve metinleri algılamak, analiz etmek için kullanılmaktadır. Bu araç seti içerisinde bulunan Tika MP3 Parser üzerinde CVE-2021-28657 kodlu güvenlik zafiyeti tespit edilmiştir.

Söz konusu güvenlik zafiyeti, zararlı istekler gerçekleştiren veya bozuk bir dosyanın Tika MP3Parser üzerinde sonsuz bir döngüyü tetikleyebilmesine ve böylelikle DoS (servis dışı bırakma) zafiyetine neden olmaktadır. Tehdit aktörleri tarafından hedef alındığı takdirde; sistemde kimlik doğrulamasına gerek duyulmamakta ve Internet üzerinden siber saldırılar gerçekleştirilebilmektedir. Ancak bilinen bir sömürü yöntemi veya zafiyeti kullanan zararlı yazılım henüz tespit edilmemiştir.

Apache Tika 1.25 sürümününün güvenlik zafiyetinden etkilendiği paylaşılmıştır. Siber saldırı yüzeyinin kontrol altında tutulabilmesi adına yayınlanan Tika 1.26 güncellemesinin uygulanması tavsiye edilmektedir.

A41APT Kampanyasında Keşfedilen Zararlı Yazılım: Ecipekac Loader
A41APT Kampanyasında Keşfedilen Zararlı Yazılım: Ecipekac Loader

APT10 tarafından gerçekleştirilmekte olan A41APT kampanyası Mart 2019’dan Aralık 2020’ye kadar tespit edilen etkinliklerle uzun süre devam etmekte olan bir kampanyadır.

Bu kampanyalarda tespit edilen zararlı yazılım ailelerinin çoğu fileless (dosyasız) ve daha önce görülmemiş zararlılardır. Kampanyada tespit edilen zararlı yazılım, Ecipekac ( DESLoader, SigLoader ve HEAVYHAND) olarak adlandırılmaktadır. Bununla birlikte Ecipekac, P8RAT ve SodaMaster gibi farklı benzersiz fileless zararlı yazılımları içermektedir.

Güvenlik araştırmacıları tarafından yapılan analizde Ecipekac’ın yeni ve karmaşık bir yükleme şeması kullandığı görülmüştür. Belleğe son payloadı yüklemek için dört fileless loader modülünü birbiri ardına yüklemek ve şifresini çözmek için dört dosya (policytool.exe, jli.dll, vac.dll, pcasvc.dll) kullanılmaktadır. Yani payloadlar katman katman yüklenmektedir. Katman 1 ‘de bulunan jli.dll zararlı dll dosyasının yüklenmesi için policytool.exe dosyası kullanılmaktadır. Yüklenen bu dll dosyası benzer işleve sahip başka bir dll dosyasının yüklenmesinden sorumludur. Bu sayede yüklenen vac.dll dosyasının şifresi çözüldükten sonra Katman 2 de bulunan zararlıların yükleme işlemlerinin önü açılmış olmaktadır. Bu zincir son payload yüklenene kadar bu şekilde devam etmektedir.

Bu kampanya sürecinde Ecipekac tarafından implemente edilen 3 tür zararlı yazılım gözlemlenmiştir.

  • P8RAT
  • SodaMaster
  • QuasarRAT için FYAnti Loader

P8RAT diğer adıyla GreetCake yeni bir fileless zararlı yazılımdır. P8RAT’ın temel amacı, C2 sunucusundan payloadları (PE ve shell kod) indirmek ve yürütmektir. Ağustos 2020 tarihinde yapılan bir incelemede P8RAT’ın, ana zararlı işlevinin başlangıcında VMware veya VirtualBox ortamlarını tespit etmek için hedefin sisteminde iki process’i (VBoxService.exe ve vmtoolsd.exe) aradığı gözlemlenmiştir.

Ecipekac Loader’ın implemente ettiği başka bir zararlı ise SodaMaster,diğer adıyla Delfscake fileless zararlı yazılımıdır. SodaMaster yazılımının amacı da P8RAT gibi payloadları (DLL veya shell kod) indirmek ve çalıştırmaktır. Bununla birlikte SodaMaster modülü bir anti-VM özelliği göstermektedir. Zararlı yazılım, ana işlevine geçmeden önce hedefin sisteminde “HKEY_CLASSES_ROOT\\Applications\\VMwareHostOpen.exe” kayıt defteri anahtarının varlığını aramaktadır. Çünkü bu kayıt defteri anahtarı, VMware ortamına özeldir.

Tüm bu analizler göz önünde bulundurularak Ecipekac zararlısının en önemli özelliği, çok sayıda katman dışında, şifrelenmiş shell kodlarının dijital imzanın geçerliliğini etkilemeden dijital olarak imzalanmış DLL’lere ekleyebiliyor olmasıdır. Bu teknik kullanıldığında bazı güvenlik çözümleri bu implantları tespit etmeyebilmektedir. P8RAT ve SodaMaster zararlılarının ana özelliklerinden yola çıkarak, bu modüllerin başka zararlı yazılımları indirmekten sorumlu olduğu kanısına varılmıştır.

Epikac Zararlısına Ait Bazı IOC Bulguları :

Domain ve IP’ler:

151.236.30[.]223
193.235.207[.]59
45.138.157[.]83
88.198.101[.]58
www.rare-coisns[.]com

Hash – MD5:

be53764063bb1d054d78f2bf08fb90f3
cca46fc64425364774e5d5db782ddf54
dd672da5d367fd291d936c8cc03b6467
f60f7a1736840a6149d478b23611d561
59747955a8874ff74ce415e56d8beb9c
4638220ec2c6bc1406b5725c2d35edc3
d37964a9f7f56aad9433676a6df9bd19
335ce825da93ed3fdd4470634845dfea
f4c4644e6d248399a12e2c75cf9e4bdf

VMware vRealize Operations İçin Güvenlik Zafiyetleri Tespit Edildi
VMware vRealize Operations İçin Güvenlik Zafiyetleri Tespit Edildi

VMware vRealize Operations yazılımını etkileyen CVE-2021-21975 ve CVE-2021-21983 kodlu güvenlik zafiyetleri tespit edildiği açıklanmıştır. Güvenlik zafiyetleri başarılı bir şekilde sömürüldüğünde sunucu taraflı istek sahteciliği yapılmasına (Server Side Request Forgery) ve hedef cihazda rastgele dosya oluşturulmasına (Arbitrary File Write) imkan vermektedir. Güvenlik zafiyetinden, VMware vRealize Operations 8.x ve 7.5.x sürümlü yazılımlar etkilenmektedir (Link).

CVE-2021-21975: Güvenlik zafiyeti vRealize Operations Manager API’ında HTTP isteklerinin kötüye kullanılmasıyla ortaya çıkmıştır. Bu sayede VRealize Operations Manager API’ına ağ erişimi olan tehdit aktörleri, hedef cihaza ait kullanıcı kimlik bilgilerini ele geçirebilmektedir. VMWare tespit edilen güvenlik zafiyetinin CVSSv3 skorunu 8.6 (Önemli) olarak belirtmektedir.

CVE-2021-21983: Güvenlik zafiyeti vRealize Operations Manager API’ında kullanıcıların yanlış yetkilendirmesiyle tetiklenmektedir. Bu sayede tehdit aktörleri başarılı bir senaryoda, linux tabanlı ve açık kaynak kodlu VMWare Photon işletim sistemine sahip cihazlarda rastgele konumlara dosya oluşturabilmektedir. VMWare tespit edilen güvenlik zafiyetinin CVSSv3 skorunu 7.6 (Önemli) olarak belirtmektedir.

VMWare yayınladıkları KB83210, KB83095, KB83094, KB83093 ve KB82367 kodlu güvenlik yamalarıyla beraber tespit edilen güvenlik zafiyetlerini gidermiştir. Kritik saldırıların kurbanı olmamak adına yayınlanan güvenlik yamalarının uygulanması önerilmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri