ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Cuma günü katma Bilinen Yararlanılan Güvenlik Açıklarında üç kusur (KEV) katalog, vahşi ortamda aktif suistimal kanıtlarına atıfta bulunuyor.
Üçü arasında yer alan CVE-2022-24990TerraMaster ağa bağlı depolama (TNAS) cihazlarını etkileyen ve en yüksek ayrıcalıklarla kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilecek bir hata.
Kusurla ilgili ayrıntılar, Mart 2022’de Etiyopyalı siber güvenlik araştırma şirketi Octagon Networks tarafından açıklandı.
ABD ve Güney Kore hükümet yetkilileri tarafından yayınlanan ortak bir danışma belgesine göre, güvenlik açığının Kuzey Koreli ulus devlet bilgisayar korsanları tarafından fidye yazılımı ile sağlık ve kritik altyapı kuruluşlarına saldırmak için silah haline getirildiği söyleniyor.
KEV kataloğuna eklenecek ikinci eksiklik ise; CVE-2015-2291Windows için Intel ethernet tanılama sürücüsünde (IQVW32.sys ve IQVW64.sys) belirtilmeyen ve etkilenen bir aygıtı hizmet reddi durumuna sokabilecek bir kusur.
CVE-2015-2291’in vahşi ortamda kullanılması açıklığa kavuşmuş Geçen ay CrowdStrike tarafından, Kendi Savunmasız Sürücüsünü Getir (BYOVD) adlı bir taktik kullanarak savunmasız sürücünün yasal olarak imzalanmış ancak kötü niyetli bir sürümünü yerleştirme girişimini gerektiren bir Dağınık Örümcek (namı diğer Kavrulmuş 0ktapus veya UNC3944) saldırısını detaylandırıyor.
Siber güvenlik firması, amacın, güvenliği ihlal edilmiş ana bilgisayarda kurulu uç nokta güvenlik yazılımını atlamak olduğunu söyledi. Saldırı sonuçta başarısız oldu.
Geliştirme, BlackByte, Earth Longzhi, Lazarus Group ve OldGremlin gibi birden fazla tehdit aktörü tarafından izinsiz girişlerini yükseltilmiş ayrıcalıklarla güçlendirmek için tekniğin giderek daha fazla benimsendiğinin altını çiziyor.
Son olarak CISA, Fortra’nın GoAnywhere MFT tarafından yönetilen dosya aktarım uygulamasında (CVE-2023-0669) KEV kataloğuna. Kusur için yamalar yakın zamanda yayınlanmış olsa da, istismar bir fidye yazılımı operasyonuna bağlı bir siber suç grubuyla ilişkilendirildi.
Avcı, bir analiz Bu haftanın başlarında yayınlanan raporda, Silence olarak bilinen bir tehdit aktörüne atfedilen ve TA505 ile taktik örtüşmeler sergileyen bir Rus siber suç ekibi olan Evil Corp ile bağlantıları paylaşan bir Windows kötü amaçlı yazılımı olan TrueBot’un konuşlandırılmasına yol açan enfeksiyon zincirini gözlemlediği belirtildi.
TA505 ile kolaylaştırıcı Geçmişte Clop fidye yazılımının konuşlandırılmasından sonra, saldırıların hedeflenen sistemlerde dosya kilitleme kötü amaçlı yazılımlarının konuşlandırılmasının habercisi olduğundan şüpheleniliyor.
Ayrıca güvenlik blogu Bleeping Computer bildirildi Clop fidye yazılımı ekibi yayına ulaştı ve 130’dan fazla şirketten güvenliği ihlal edilmiş sunucularda depolanan verileri çalmak için açıktan yararlandığını iddia etti.
Federal Sivil Yürütme Şubesi (FCEB) kurumlarının, ağları aktif tehditlere karşı güvenceye almak için 3 Mart 2023’e kadar düzeltmeleri uygulaması gerekiyor.