Haftanın Önemli Gelişmeleri – 46. Hafta

Haftanın Zafiyetleri

CKEditor4 – CVE-2021-41165

Haftanın Araçları

fhex

Brandefense ile Siber Saldırılara Karşı Önlem Alın!

Netgear Birden Fazla SOHO Cihazındaki RCE Zafiyetini Gideren Güncellemeler Yayınladı
Netgear Birden Fazla SOHO Cihazındaki RCE Zafiyetini Gideren Güncellemeler Yayınladı

Netgear, SOHO cihazlarında, yerel ağdaki (LAN) bir tehdit aktörü tarafından kök ayrıcalıklarıyla uzaktan kod yürütmek için kullanılabilecek bir kimlik doğrulama öncesi arabellek taşması sorununu ele almıştır.(Referans Linki)

CVE-2021-34991 olarak izlenen güvenlik zafiyeti, kimlik doğrulama öncesi arabellek taşması olarak tanımlanmakta ve bir cihazın Evrensel Tak ve Çalıştır (UPnP) hizmetini etkilemektedir. Zafiyet, ağların UPnP yapılandırması değiştiğinde güncelleme almak isteyen istemcilerden gelen kimliği doğrulanmamış HTTP SUBSCRIBE ve UNSUBSCRIBE isteklerinin işlenmesinde meydana gelen bir hata nedeniyle kaynaklanmaktadır. Zafiyetten etkilenen Netgear SOHO cihazları arasında yönlendiriciler, modemler ve WiFi menzil genişleticiler de yer almaktadır. Güvenlik araştırmacıları, güvenlik zafiyetinin istismarına yönelik bir kavram kanıtı (PoC) kodu ve güvenlik hatasının ayrıntılı bir teknik analizini yayınlamıştır. Buna ek olarak araştırmacılar, geliştirilen istismar yönteminin varsayılan yapılandırmayı çalıştıran tamamen yamalı cihazlardan bile ödün verebileceğini belirtmiştir.

Netgear, birden fazla cihazı etkileyen söz konusu kritik güvenlik zafiyetini gideren güvenlik güncellemeleri yayınlamıştır. Savunmasız sürüm ve cihazları kullanan kullanıcıların zafiyetin giderildiği güncel sürümlere ivedilikle güncelleme yapmaları tavsiye edilmektedir.

Siber Güvenlik Bültenine Abone Ol!

Emotet Zararlı Yazılımının Yenilenen Altyapısıyla Geri Döndüğü Tespit Edildi
Emotet Zararlı Yazılımının Yenilenen Altyapısıyla Geri Döndüğü Tespit Edildi

Kötü şöhretli bankacılık Trojan’ı ünvanına sahip olan Emotet zararlı yazılımına yönelik gerçekleştirilen uluslarası operasyonlar neticesinde, altyapısı kapatılan siber suç örgütünün kısa bir süre sonra tekrar internet ortamında varlığı tespit edilmiştir. (Referans Linki)

Emotet Trojan dağıtımının TrickBot zararlı yazılımı üzerinden altyapısını tekrar oluşturmaya çalışmasının yanı sıra oltalama kampanyalarına yönelik çalışmalarının da bulunduğu görülmüştür. Emotet’in tespit edilen yeni varyantının, önceki sürümlerinde komuta kontrol (C2) sunucularından gelen zararlı yazılımlara ek olarak, zararlı kod ve/veya dosya barındıran Office dokümanları ve ZIP dosyalarının da kullanılmaya başlandığı tespit edilmiştir.

Yeni nesil Emotet zararlı yazılımı kullanılarak gerçekleştirilen saldırıların hedefi olmamak adına, finansal bilgilerinizi güvende tutmak amacıyla kaynağı belli olmayan e-postaları ve içerdiği dosya eklerini açmamanız önerilmektedir. Buna ek olarak, potansiyel ek zararlı yazılımlara karşı güvende olmak amacıyla lisanslı bir Anti-Virüs/Anti-Malware çözümünün kullanılması tavsiye edilmektedir.

Banka Ve Kripto Para Hesaplarını Hedef Alan Yeni Bir Android Trojan Tespit Edildi: “SharkBot”
Banka Ve Kripto Para Hesaplarını Hedef Alan Yeni Bir Android Trojan Tespit Edildi: “SharkBot”

Siber güvenlik araştırmacıları tarafından, İtalya, İngiltere ve ABD’deki bankacılık ve kripto para birimi hizmetlerinden kimlik bilgilerini almak için cihazlardaki erişilebilirlik özelliklerinden yararlanan yeni bir Android Trojan zararlı yazılımı tespit edildi. “SharkBot” olarak adlandırılan zararlı yazılımın, İtalya ve İngiltere’deki 22 adet uluslararası bankanın yanı sıra ABD’deki beş kripto para uygulaması dahil olmak üzere toplam 27 platformu hedef almak üzere tasarlandığı bilinmektedir. (Referans Linki)

SharkBot’un temel amacı, çok faktörlü kimlik doğrulama mekanizmalarını (SCA) atlayarak, Otomatik Transfer Sistemleri (ATS) tekniği ile güvenliği ihlal edilen cihazlardan para transferlerini başlatmaktır. Bu mekanizmalar, kullanıcıların kimlik doğrulamasını ve kimlik doğrulamasını zorlamak için kullanılır, genellikle şüpheli para transferlerini belirlemek için davranışsal tespit teknikleriyle birleştirilir. SharkBot, hedeflere meşru bir uygulama gibi görünen ortak adlar ve simgeler kullanarak kendini gizlemektedir. Ardından hedefin cihazına başarıyla yüklendikten sonra, tehdit aktörleri Erişilebilirlik Hizmetlerini manipüle ederek kimlik bilgileri, kişisel bilgiler, cari bakiye vb. gibi hassas bankacılık bilgilerini elde edebilmekte ve aynı zamanda virüslü cihazda çeşitli faaliyetler gerçekleştirebilmektedir.

Söz konusu zararlı yazılıma ait Google Play Store’da ya da resmi uygulama mağazalarında herhangi bir örnek gözlemlenmemiştir.Zararlı uygulama, sosyal mühendislik şemaları kullanılarak kullanıcıların cihazlarına yüklenmektedir. Bu bağlamda kullanıcıların bilinmeyen taraflardan uygulama ya da dosya indirmemeleri, indirilen uygulamalara verilen izinlerinin kontrol edilmesi, güvenilir bir Anti-Malware çözümünün kullanılması ve tespit edilen IoC bulgularının güvenlik cihazlarından engellenmesi tavsiye edilmektedir.

Yeni Moses Staff Siber Tehdit Grubu İsrailli Şirketleri Hedef Alıyor
Yeni Moses Staff Siber Tehdit Grubu İsrailli Şirketleri Hedef Alıyor

Moses Staff adlı yeni bir siyasi amaçlı siber tehdit grubunun, Eylül 2021’den bu yana, erişim kazanma veya fidye talep etme süreçleri olmaksızın ağlarını şifrelemeden önce hassas bilgileri ele geçirerek ve ele geçirilen verileri sızdırarak İsrail kuruluşlarını hedef aldığı tespit edilmiştir. (Referans Linki)

Söz konusu saldırılarda hedeflerin ağlarına ilk erişim, genellikle Microsoft Exchange Sunucuları gibi halka açık altyapılardaki bilinen güvenlik zafiyetlerinden yararlanılmasıyla sağlanmaktadır. Ardından ağa ek zararlı yazılımları bırakmak için kullanılacak olan özel bir web kabuğu konuşlandırılmaktadır. Etkilenen ağlardaki yanal hareket, PsExec, WMIC ve Powershell gibi temel araçlar kullanılarak gerçekleştirilmektedir. Güvenlik araştırmacıları tarafından yapılan analizlerde birim şifrelemesi gerçekleştirmek ve hedeflerin bilgisayarlarının doğru parola olmadan açılmasına izin vermeyecek bir önyükleyici (Bootloader) ile kilitlemek için açık kaynaklı DiskCryptor kitaplığının kullanıldığı gözlemlenmiştir. Buna ek olarak Moses Staff tarafından kullanılan mevcut şifreleme yöntemi, belirli koşullar altında tersine çevrilebilmektedir.

Siyasi ve ideolojik sebepler ile gerçekleştirdikleri saldırıları Telegram ve Twitter gibi kanallar aracılığıyla da duyurmak isteyen Moses Staff, 257’den fazla web sitesini ve ayrıca 34 terabaytlık veri ve belgeleri ele geçirdiklerini iddia eden açıklamalarda bulunmaktadır. Söz konusu saldırılarında yararlanılan güvenlik zafiyetlerinin 0-day güvenlik zafiyetleri olmamasından dolayı güvenlik araştırmacıları tüm potansiyel hedeflerin, internete açık sistemlerini güncelleyerek saldırılardan korunmalarını tavsiye etmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri