VERİLER DÜZENLİ OLARAK YEDEKLENMELİ
Kaspersky Orta Doğu, Türkiye ve Afrika'yı hedef alan yeni bir arka kapı keşfetti...
04 Temmuz 2022 Pazartesi 11:45
Kaspersky uzmanları, Microsoft tarafından düzenlenen popüler bir web sunucusu olan Internet Information Services (IIS) içine kötü amaçlı bir modül olarak yerleşen, yeni tespit ettiği SessionManager arka kapısını gün ışığına çıkardı. SessionManager sisteme bulaşmasının ardından e-posta toplamaktan kurbanın altyapısı üzerinde tam kontrol sağlamaya kadar çok çeşitli kötü amaçlı etkinliklere olanak tanıyor. İlk olarak Mart 2021'in sonlarında keşfedilen arka kapı Kuveyt, Suudi Arabistan, Nijerya, Kenya ve Türkiye dahil olmak üzere Orta Doğu, Türkiye ve Afrika bölgesinden sekiz ülkede hükümet kurumlarını ve sivil toplum kuruluşlarını hedefliyor.
Aralık 2021'de Kaspersky, bir kullanıcının Outlook Web Access'te (OWA) oturum açarken girdiği kimlik bilgilerini çalan, önceden bilinmeyen bir IIS modülü olan "Owowa"yı ortaya çıkardı. O zamandan beri, şirketin uzmanları siber suç faaliyeti için yeni fırsatları takibe aldılar. Bu sırada IIS içine dağıtmak üzere bir arka kapı yerleştirmenin, daha önce Microsoft Exchange içindeki "ProxyLogon tipi" güvenlik açıklarından birini kullanan tehdit aktörleri için yeni bir eğilim olduğu ortaya çıktı. Yakın zamanda yaptıkları bir araştırma sırasında Kaspersky uzmanları, SessionManager adlı yeni bir arka kapı modülüyle karşılaştı.
SessionManager arka kapısı, tehdit aktörlerinin hedeflenen kuruluşun BT altyapısına kalıcı, güncellemeye dayanıklı ve oldukça gizli erişim sağlamasına yol açıyor. Kurbanın sistemine bir kez girdikten sonra arka kapıyı kullanan siber suçlular, şirket e-postalarına erişebiliyor, diğer kötü amaçlı yazılımları yükleyerek daha fazla kötü amaçlı erişimi güncelleyebiliyor veya kötü amaçlı altyapı olarak kullanılabilecekleri, güvenliği ihlal edilmiş sunucuları gizlice yönetebiliyor.
SessionManager'ın ayırt edici bir özelliği zayıf algılama oranı. İlk olarak 2022'nin başlarında Kaspersky araştırmacıları tarafından keşfedilen bazı arka kapı örnekleri, en popüler çevrimiçi dosya tarama hizmetlerinde hala kötü amaçlı olarak işaretlenmiyor. Üstelik SessionManager hedeflenen kuruluşların %91'inden fazlasında konuşlandırılmış durumda.
Genel olarak Avrupa, Orta Doğu, Güney Asya ve Afrika'dan 24 kuruluşun 34 sunucusu SessionManager tarafından ele geçirildi. SessionManager'ı işleten tehdit aktörü STK'lara ve devlet kurumlarına özel bir ilgi gösteriyor. Ancak bunların yanı sıra tıbbi kuruluşları, petrol ve nakliye şirketlerini de hedef alıyor.
Benzer bir mağduriyet ve yaygın "OwlProxy" varyantının kullanılması nedeniyle Kaspersky uzmanları, kötü niyetli IIS modülünün, casusluk operasyonlarının bir parçası olarak GELSEMIUM tehdit aktörü tarafından kullanılmış olabileceğini düşünüyor.
Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: "Exchange sunucularındaki güvenlik açıklarından yararlanma, 2021 yılının ilk çeyreğinden bu yana hedeflenen altyapıya girmek isteyen siber suçluların gözdesi oldu. Bu, özellikle uzun süredir fark edilmeyen bir dizi siber casusluk kampanyasını mümkün kıldı. Yakın zamanda keşfedilen SessionManager, bir yıl boyunca zayıf bir şekilde algılandı. Devasa ve benzeri görülmemiş sunucu tarafı güvenlik açığı istismarıyla karşı karşıya kalan siber güvenlik aktörlerinin çoğu, tespit ettikleri ilk ihlalleri araştırmak ve bunlara yanıt vermekle meşguldü. Sonuç olarak bununla ilgili kötü niyetli faaliyetleri aylar veya yıllar sonra keşfetmek hala mümkün ve bu muhtemelen uzun bir süre böyle devam edecek.”
Delcher, ayrıca şunları ekliyor: “Gerçek zamanlı veya yakın zaman önce gerçekleşmiş siber tehditlere ilişkin görünürlük kazanmak, şirketlerin varlıklarını korumaları açısından çok önemlidir. Bu tür saldırılar önemli mali veya itibar kayıplarına neden olabilir ve hedefin operasyonlarını kesintiye uğratabilir. Tehdit istihbaratı, bu tür tehditlerin güvenilir ve zamanında tahmin edilmesini sağlayan tek bileşendir. Hele Exchange sunucuları söz konusu olduğunda bunu ne kadar vurgulasak az: Kötü niyetli niyet ne olursa olsun, geçen yılın güvenlik açıkları onları mükemmel hedefler haline getirdi. Bu nedenle henüz yapılmadıysa Exchange sunucuları dikkatlice denetlenmeli ve gizli implantlar açısından izlenmeli."
Kaspersky ürünleri, SessionManager dahil olmak üzere birçok kötü amaçlı IIS modülünü algılayabiliyor.
SessionManager'ın çalışma stili ve hedefleri hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edebilirsiniz.
İşletmelerinizi bu tür tehditlerden korumak için Kaspersky uzmanları ayrıca şunları önermektedir:
Açıkta kalan IIS sunucularında (özellikle Exchange sunucularında) yüklü IIS modüllerini düzenli olarak kontrol edilmeli ve IIS sunucu paketindeki mevcut araçlardan yararlanılmalıdır. Microsoft sunucu ürünlerinde her büyük güvenlik açığı duyurulduğunda, tehdit avı etkinliklerinizin bir parçası olarak bu tür modülleri kontrol etmelisiniz.
Savunma stratejisi yanal hareketleri ve internete veri sızmasını tespit etmeye odaklanmalıdır. Siber suçlu bağlantılarını tespit etmek için giden trafiğe özellikle dikkat edilmelidir. Veriler düzenli olarak yedeklenmeli ve acil bir durumda hızlıca erişilebileceğinden emin olunmalıdır.
Saldırganlar hedeflerine ulaşmadan önce, saldırıyı erken aşamalarda belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response hizmeti gibi çözümler kullanılmalıdır.
Kaspersky Endpoint Security for Business (KESB) gibi, kötüye kullanım önleme, davranış algılama ve kötü amaçlı eylemleri geri alabilen bir düzeltme motoruyla desteklenen güvenilir bir uç nokta güvenlik çözümü tercih edilmelidir. KESB, siber suçlular tarafından sistemden kaldırılmasını engelleyebilecek kendini koruma mekanizmalarına sahiptir.
- Yaşlıları hedef alan dolandırıcılıkYaşlıları dolandırıcılıktan kurtaracak 10 yöntem...04 Mayıs 2024 Cumartesi 10:06TEKNOLOJİ
- Verilerimizi neden korumamız gerekir?Siber suçluların kişisel verilerin peşinden koşmasının 7 nedeni...03 Mayıs 2024 Cuma 12:41TEKNOLOJİ
- Geleneksel şifreler sıkıcı mı geliyor?Dünya Şifre Günü'nde 32 Milyon saldırı engellendi...03 Mayıs 2024 Cuma 09:48TEKNOLOJİ
- Siber güvenlik evde başlarYanınızda akıllı telefon olmadan tatile çıkar mısınız?...03 Mayıs 2024 Cuma 09:07TEKNOLOJİ
- Star Wars güncellendiStar Wars: The Old Republic’e büyük 7.5 güncellemesi geliyor02 Mayıs 2024 Perşembe 11:51TEKNOLOJİ
- Çevrimiçi reklamlar çocukları etkiliyor?Çevrimiçi reklamlar çocuklar için birçok tehlike arz ediyor....02 Mayıs 2024 Perşembe 09:59TEKNOLOJİ
- Şifrelerimizi nasıl güvende tutarız?Dünya Şifre Günü’ne özel olarak şifrelerin güvenliği için 6 ipucu...02 Mayıs 2024 Perşembe 09:05TEKNOLOJİ
- Kriptoda 2. çeyreğin odağı Ethereum ETFHong Kong Bitcoin ve Ethereum ETF’lerine 1 milyar dolar giriş bekleniyor...01 Mayıs 2024 Çarşamba 11:47TEKNOLOJİ
- Siber suçluların hedefi küçük işletmelerKüçük işletmeler, büyük riskler: Parola korumasını önceliklendirme...30 Nisan 2024 Salı 11:22TEKNOLOJİ
- Telefon dolandırıcılığını nasıl anlarısınız?Telefon dolandırıcılığı hakkında 6 bilgi...26 Nisan 2024 Cuma 11:07TEKNOLOJİ
- DuneQuixote'nin hedefi kamu kurumlarıYeni DuneQuixote siber casusluk kampanyası dünya genelindeki kamu kurumlarını hedef alıyor...26 Nisan 2024 Cuma 11:02TEKNOLOJİ
- Borç öderken tuzağa düşmeyinHedefte gençler, yaşlılar, düşük gelirliler ve düşük kredi puanına sahip bireyler var...26 Nisan 2024 Cuma 08:25TEKNOLOJİ
- Orta Doğu kripto piyasası yükselişteGünlük Trader sayısı son yılda yüzde166 arttı...23 Nisan 2024 Salı 12:51TEKNOLOJİ
- Çocuğunuzu zararlı uygulamalardan koruyunÇocuğunuzun indirmek istediği uygulamayı mutlaka inceleyin...22 Nisan 2024 Pazartesi 11:56TEKNOLOJİ
- E-kitap okurları artıyorYapay zeka, kitap okuma alışkanlıklarını değiştiriyor...22 Nisan 2024 Pazartesi 11:30TEKNOLOJİ
- En yaygın mobil tehditlerMobil tehditleri hafife almayın...20 Nisan 2024 Cumartesi 10:25TEKNOLOJİ
- Giyilebilir cihazlar risk taşıyor mu?Giyilebilir cihazları güvende tutmak için ipuçları...19 Nisan 2024 Cuma 11:50TEKNOLOJİ
- Konsol devri kapanıyor mu?Konsol sistemleri 1980’lerin başından beri hayatımızda...18 Nisan 2024 Perşembe 15:33TEKNOLOJİ
- Bitcoin dolandırıcılığına dikkatBitcoin yarılanmasında kripto varlıklarınız sıfırlanmasın...18 Nisan 2024 Perşembe 12:42TEKNOLOJİ
- Veri hırsızlarına dikkatKullanıcı kimlik bilgilerinin peşinde olan veri hırsızlarına karşı uyarı...17 Nisan 2024 Çarşamba 12:21TEKNOLOJİ
- Geri
- Ana Sayfa
- Normal Görünüm
- © 2015 Bursa Bakış
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.