Dark Reading’in haftanın kaçırılmaması gereken hikayelerinin haftalık özetine hoş geldiniz, Neopets ihlalindeki düşüşü ve bunun her türden tüketiciyle yüz yüze olan şirketler için ne anlama geldiğini anlatıyor; Google Drive ve bulut uygulamalarının kötü niyetli kullanımıyla ilgili sorunlar; devlet destekli kampanyalar hakkında bir dizi açıklama; ve Google Ads ile ilgili bir kötü amaçlı reklam sorunu.

Dark Reading’in editörleri, daha önce ulaşamadığımız ancak haber vermemenin yanlış olduğunu düşündüğümüz tüm ilginç tehdit istihbaratını ve siber olay hikayelerini bir araya getirdi. Bu haftanın “kaçırmanız durumunda” (ICYMI) özetinde, aşağıdakiler hakkında daha fazla bilgi için okumaya devam edin:

  • Neopets & Gaming’in Lax Güvenliği
  • SolarWinds Hackerları, Embassy Saldırılarında Google Drive’ı Kucaklıyor
  • APT-a-Palooza’da Ulus-Devlet Saldırıları Artıyor
  • Google Ads, Teknik Destek Dolandırıcılığının Bir Parçası Olarak Kötüye Kullanılıyor

Neopets & Gaming’in Lax Güvenliği

Neopets bu hafta bir hafta içinde üçüncü oyun platformu oldu siber saldırıya uğramak (sonrasında Bandai Namco ve Roblox), saldırganların yaz aylarında “boş zaman etkinliği” şirketlerini vurma konusundaki ilgisini vurgulamaktadır. Raporlara göre, sanal evcil hayvan tedarikçisi soyuldu kaynak kodu ve 69 milyon kullanıcısına ait kişisel bilgiler için.

“TarTarX” i kullanan bir bilgisayar korsanı, haksız elde edilen malları 4 bitcoin karşılığında satışa çıkarıyor, bu da Cuma günkü döviz kurunu kullanarak yaklaşık 92.000 dolar anlamına geliyor. Çalınan PII, üyelerin kullanıcı adlarını, adlarını, e-posta adreslerini, posta kodlarını, doğum tarihlerini, cinsiyetini, ülkesini ve oyunla ilgili bilgileri içeren verileri içeriyor gibi görünüyor.

TarTarX’in web sitesine nasıl eriştiği belli değil, ancak KnowBe4’ün güvenlik bilinci savunucusu Javvad Malik, saldırının verilerini daha iyi güvence altına almak için tüm tüketici odaklı kuruluşlara bir uyandırma çağrısı olması gerektiğini belirtiyor.

“Geçmişte, topladıkları çok büyük miktarda kişisel veri nedeniyle oyuncak üreticilerinin ve oyun geliştiricilerinin başarılı olduğunu gördük” diyor ve ekliyor: “Bu tür kuruluşlar topladıkları bilgilere ve bunun amacına dikkat etmelidir. Aşırı veri tutmak, bir ihlal olması durumunda daha fazla sorumluluk anlamına gelir.”

İhlalden etkilenen tüm kullanıcılar, kimlik bilgisi doldurma saldırıları potansiyeli göz önüne alındığında, Neopets için kullandıkları şifrenin başka bir yerde kullanılmadığından emin olmalıdır.

SolarWinds Hackerları, Embassy Saldırılarında Google Drive’ı Kucaklıyor

Genişleyen SolarWinds tedarik zinciri saldırısının arkasındaki bilgisayar korsanları yine iş başında ve bu kez Google Drive’ı kötü amaçlı yazılımları hedeflerin makinelerine kaçırmak için kötüye kullanıyorlar.

APT29, Cloaked Ursa, Cozy Bear veya Nobellium olarak izlenen gelişmiş kalıcı tehdit (APT), Mayıs ve Haziran ayları arasında e-posta kaynaklı iki saldırı dalgası başlattı. Palo Alto Networks’ün 42. Biriminden yapılan bir analize göre, saldırılar Portekiz’deki bir yabancı büyükelçiliği ve Brezilya’daki bir başka büyükelçiliği hedef aldı. Grup, bir büyükelçi ile yapılacak bir toplantı için sözde bir gündemi bir cazibe olarak kullandı.

“Her iki durumda da, kimlik avı belgeleri bir [Google Drive] Unit 42’nin gönderisine göre, hedef ağdaki bir Kobalt Strike yükü de dahil olmak üzere ek kötü amaçlı dosyalar için bir damlalık görevi gören kötü amaçlı bir HTML dosyasına (EnvyScout) bağlantı bu hafta.

APT29’un ABD hükümeti tarafından Rusya’nın Dış İstihbarat Servisi’ne (SVR) bağlı olduğuna inanılıyor ve yalnızca SolarWinds’den değil, aynı zamanda 2016’daki Amerika Birleşik Devletleri Demokratik Ulusal Komitesi’nin (DNC) hacklenmesinden de sorumlu olduğu düşünülüyor.

Siber suçlular, milyonlarca iş kullanıcısının (ve e-posta ağ geçitlerinin) kendilerine duyduğu derin güvenden yararlanmaya çalıştıkça, kötü niyetli yükler sağlamak için meşru bulut hizmetlerinin kullanımı artıyor. Grip Security CEO’su ve kurucu ortağı Lior Yaari, bunun bir hizmet olarak yazılım (SaaS) uygulamasından gelen içeriğin daha iyi incelenmesi ihtiyacına işaret ettiğini belirtti.

Dark Reading’e yaptığı açıklamada, “Google Drive kullanılarak keşfedilen son kötü amaçlı etkinlik, SaaS güvenlik sorununun simgesidir – evrensel erişilebilirlik ve dağıtım kolaylığı” dedi. “Google Drive’dan önce Dropbox vardı ve Dropbox’tan önce APT29 Microsoft’u vuruyordu. 365. Bu gibi kampanyalar için SaaS güvenlik sorunu, yalnızca SaaS’ın güçlü yönlerinden kötü amaçlar için yararlanma eğilimini gösterir. Ve birçok güvenlik ekibi için daha fazla SaaS’ın gözden kaybolmasıyla durum daha da kötüleşiyor.”

APT-a-Palooza’da Ulus-Devlet Saldırıları Artıyor

APT’lerden bahsetmişken, bu hafta ulus devlet destekli birkaç kampanya ortaya çıktı. Örneğin, Vatandaş Laboratuvarı dedi geçen yılın sonlarında gerçekleşen kapsamlı bir casusluk kampanyasının ardından en az 30 kişiye NSO Group’un Pegasus mobil casus yazılımının bulaştığını adli olarak doğruladığını söyledi. Bu çaba, Taylandlı demokrasi yanlısı protestocuları ve monarşiye reform çağrısı yapan aktivistleri hedef aldı.

Google’ın Tehdit Analizi Grubu, Ukrayna’da garip bir yanlış bayrak operasyonuna işaret etti. Rusya bağlantılı hacker grubu Turla (diğer adıyla Snake, Uroburos ve Venomous Bear), Rus web sitelerine karşı dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek isteyen Ukraynalı bilgisayar korsanları için bir araç gibi görünen kötü niyetli bir Android uygulaması yarattı. Turla, Ukrayna’nın ulusal muhafızlarının bir parçası haline gelen aşırı sağcı bir grup olan Azak Alayı veya Taburu’na atıfta bulunarak uygulamayı CyberAzov olarak adlandırdı.

CyberAzov, “aktör tarafından kontrol edilen ve üçüncü taraf mesajlaşma servislerindeki bağlantılar aracılığıyla yayılan bir etki alanında barındırılıyor”. Google ETİKETİ. Uygulama, DDoS saldırıları gerçekleştirme kisvesi altında dağıtılırken, “‘DoS’, etkili olmak için yeterli değil, hedef web sitesine yalnızca tek bir GET isteğinden oluşur.”

Gerçekte, uygulama “Rus web sitelerine saldırmak için böyle bir uygulamayı kimin kullanmak isteyebileceğini haritalamak ve bulmak için tasarlandı”. ek yorum Bruce Schneier’den.

Bu arada Cisco Talos, Ukraynalı varlıkları hedef alan ve muhtemelen Rusya’ya atfedilebileceğini söylediği olağandışı bir kampanya gözlemledi. Araştırmacılar, saldırının Ukrayna’daki çeşitli devlet kuruluşlarında ürünleri kullanılan büyük bir yazılım geliştirme şirketini hedef alması nedeniyle, bu saldırının Ukrayna’ya karşı düzenlenen siber saldırıların ortasında göze çarptığını söyledi.

Araştırmacılar, “Bu firma yazılım geliştirmeye dahil olduğu için, failin tehdit aktörünün amacının tedarik zinciri tarzı bir saldırı kaynağına erişim sağlamak olduğu olasılığını göz ardı edemeyiz” dedi. bir gönderide Bu hafta, kalıcı erişimin, şirketin ağına daha derin erişim sağlamak veya fidye yazılımı gibi ek saldırılar başlatmak da dahil olmak üzere başka şekillerde de kullanılabileceğini ekledi.

Ayrıca, çabanın GoMet adlı “oldukça yaygın olmayan bir kötü amaçlı yazılım parçası” etrafında döndüğü gerçeği de dikkate değerdir; GoMet, vahşi doğada ilk kez Mart ayında görülen açık kaynaklı bir arka kapıdır.

Ve son olarak, Belçika hükümeti, Çin bağlantılı üç tehdit grubundan (APT27, APT30 ve APT31 (diğer adıyla Gallium veya UNSC 2814) kaynaklanan) savunma sektörüne ve kamu güvenliği kuruluşlarına yönelik bir dizi saldırıyı açıklayan bir bildiri yayınladı.

“Kötü niyetli siber faaliyetler … FPS İçişleri ve Belçika Savunmasını hedef alarak egemenliğimizi, demokrasimizi, güvenliğimizi ve genel olarak toplumu önemli ölçüde etkiledi” dedi. ifade.

Google Ads, Teknik Destek Dolandırıcılığının Bir Parçası Olarak Kötüye Kullanılıyor

Araştırmacılar, bu hafta Amazon, Facebook, YouTube veya Walmart için Google araması yapan kişilerin kendilerini tarayıcılarının ele geçirildiğini bulabilecekleri konusunda uyardı.

Malwarebytes’e göre, bir kötü amaçlı reklam kampanyası, ziyaretçileri teknik destek dolandırıcılığı altyapısına yönlendirmek için Google’ın reklam ağını kötüye kullanıyor.

Araştırmacılar, “Tehdit aktörleri, popüler anahtar kelimeler ve bunlarla ilişkili yazım hataları için reklam alanı satın alıyor” dedi. bir gönderi. “Yaygın bir insan davranışı, bir tarayıcı açmak ve tam URL’sini girmeden istediğiniz web sitesine ulaşmak için hızlı bir arama yapmaktır. Tipik olarak, bir kullanıcı döndürülen ilk bağlantıya (kör bir şekilde) tıklar (bir reklam veya bir organik arama sonucu).”

Araştırmacılar, Google arama sonuçlarında, ilk döndürülen bağlantıların kullanıcıları sahte uyarılara yönlendiren ve onları destek için sahte Microsoft temsilcilerini aramaya yönlendiren reklamlar olabileceğini açıkladı.

Araştırmacılar, “Kurbanlar sadece bu web sitelerini ziyaret etmeye çalışıyorlardı ve onları oraya götürmek için Google Arama’ya güveniyorlardı. Bunun yerine, onları dolandırmaya çalışan can sıkıcı bir tarayıcı kaçırmayla sonuçlandılar” diye yakındılar.

Araştırmacılar, yaklaşımın, kötü amaçlı yazılım veya kimlik avı sayfaları sunan kötü amaçlı sitelere yönlendirmek için kolayca kullanılabileceğini belirtti. Kullanıcılar – özellikle iş kullanıcıları – beklenmedik tarayıcı yönlendirmeleri meydana geldiğinde her zaman şüpheci olmaya özen göstermelidir.





siber-1