Bilgi hırsızlarını, truva atlarını ve fidye yazılımlarını dağıtmak için kullanılan güvenlik açığına dair yeni raporlar geldiğinden, Follina her yerdeki sistem yöneticileri için oldukça bir tehdit haline geliyor.
Proofpoint’ten siber güvenlik araştırmacıları, uç noktalara bulaşmak için Follina kusurunu kullanan TA570 olarak bilinen tehdit aktörleri buldu. (yeni sekmede açılır) NCC Group, bilinen bir fidye yazılımı grubu olan Black Basta tarafından daha fazla kötüye kullanıldığını tespit etti.
Qakbot, Quakbot veya Pinkslipbot olarak da bilinen Qbot, on yıldan uzun süredir kullanılmakta olan bir bankacılık truva atı ve bilgi hırsızıdır. Bilgi hırsızını dağıtmak isteyen tehdit aktörleri genellikle kimlik avı ve güvenlik açığından yararlanmanın bir kombinasyonunu yaparak insanları kötü niyetli web sitelerini ziyaret etmeleri için kandırarak çeşitli güvenlik açıkları aracılığıyla truva atını cihaza indirir.
Kara Basta ortaya çıkıyor
Qbot, çok sayıda hasar verme, anahtarları kaydetme, çerezleri sızdırma, kancalama işlemleri yapma yeteneğine sahiptir, ancak aynı zamanda ikinci aşama virüsler, kötü amaçlı yazılımlar için bir damlalık görevi görür. (yeni sekmede açılır)veya fidye yazılımı. Bu tam olarak Black Basta’nın oynadığı el.
Fidye yazılımı alanına nispeten yeni bir giriş yapan Black Basta, güvenliği ihlal edilmiş ağlar arasında yatay olarak hareket etmek için Qbot’u kullanan ve fidye yazılımını dağıtan NCC Group tarafından gözlemlendi. (yeni sekmede açılır).
Yayın, grubun ilk olarak bu yıl Nisan ayında ortaya çıktığını ve doğrudan Amerikan Dişhekimleri Birliği’ne gittiğini hatırlatıyor. Kurbanları fidye ödemeye zorlamak için çifte gasp taktikleri (hassas verileri çalma ve şifreleme) kullanır.
CVE-2022-30190 olarak da izlenen Follina, Windows Destek Tanılama Aracında bulunan bir kusurdur. Açıldığında aracı özel hazırlanmış bir belgeden getirmek için Office Word gibi programlar alarak uzaktan kod çalıştırmak kötüye kullanılabilir.
Microsoft, kusurun varlığını kabul etti ve bir düzeltme üzerinde çalıştığına söz verdi. Bu gerçekleşene kadar, tehdit aktörleri kusuru aktif olarak kullanıyor. Teyit edilen saldırılar arasında uluslararası Tibet topluluğuna karşı düzenlenen ve Çin devleti tarafından desteklenen TA413 adlı bir tehdit aktörü tarafından gerçekleştirilen saldırılar da yer alıyor.
Aracılığıyla: Kayıt (yeni sekmede açılır)