Sıkı tutunun millet, çünkü geçen haftanın siber güvenlik manzarası bir iniş çıkıştı! Kuzey Koreli hackerların yeni bir kötü amaçlı yazılımı ifşa etmek için “rüya işleri” sallamasından, Apple ile NSO Group arasındaki destanda şaşırtıcı bir dönüşe kadar her şeye tanık olduk. Alan adları ve bulut yapılandırmalarının görünüşte sıradan dünyası bile kendi payına düşen dramaya sahipti. Ayrıntılara dalalım ve geçen haftadan hangi dersleri çıkarabileceğimize bakalım.
⚡ Haftanın Tehdidi
Raptor Tren Botnet’i Söküldü: ABD hükümeti, Flax Typhoon olarak bilinen Çin bağlantılı bir tehdit aktörü tarafından kontrol edilen Raptor Train botnet’inin devre dışı bırakıldığını duyurdu. Botnet, Haziran 2024’te 260.000’den fazla cihazdan oluşuyordu ve kurbanları Kuzey Amerika, Avrupa, Asya, Afrika ve Okyanusya ve Güney Amerika’ya dağılmıştı. Ayrıca Flax Typhoon tehdit aktörü, Integrity Technology Group olarak bilinen halka açık, Pekin merkezli bir şirkete atfedildi.
🔔 En İyi Haberler
- Lazarus Group’un Yeni Kötü Amaçlı Yazılımı: UNC2970 (diğer adıyla TEMP.Hermit) olarak bilinen Kuzey Kore bağlantılı siber casusluk grubunun, enerji ve havacılık dikeylerindeki olası kurbanları hedeflemek ve onları daha önce belgelenmemiş bir arka kapı olan MISTPEN ile enfekte etmek için iş temalı kimlik avı yemlerini kullandığı gözlemlendi. Bu faaliyet aynı zamanda Operation Dream Job olarak da izleniyor.
- iServer ve Ghost Kaldırıldı: Kolluk kuvvetleri için bir diğer büyük zaferde, Europol, çalınan veya kaybolan cep telefonlarının kilidini açmak için bir kimlik avı platformundan yararlanan uluslararası bir suç şebekesinin çökertildiğini duyurdu. Teşkilat, Avustralya Federal Polisi (AFP) ile ortaklaşa, dünya çapında ciddi ve organize suçlara olanak sağlayan Ghost adlı şifreli bir iletişim ağını dağıttı.
- İranlı APT İlk Erişim Sağlayıcısı Olarak Hareket Ediyor: UNC1860 olarak izlenen bir İran tehdit aktörü, çeşitli pasif arka kapılar dağıtarak hedef ağlara uzaktan erişim sağlayan bir ilk erişim kolaylaştırıcısı olarak hareket ediyor. Bu erişim daha sonra İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı diğer İranlı hack grupları tarafından kullanılıyor.
- Apple, NSO Group’a Karşı Açtığı Davayı Geri Çekti: Apple, İsrailli ticari casus yazılım satıcısı NSO Group’a karşı sürdürdüğü davayı, kritik “tehdit istihbaratı” bilgilerinin ifşasına yol açabilecek değişen bir risk ortamını gerekçe göstererek “gönüllü olarak” reddetme talebinde bulundu. Dava Kasım 2021’de açıldı.
- Kimlik Avı Saldırıları HTTP Başlıklarını Kullanır: Yeni bir kimlik avı saldırısı dalgası, kullanıcıların kimlik bilgilerini toplamak için tasarlanmış sahte e-posta oturum açma sayfaları sunmak üzere HTTP başlıklarındaki yenileme girişlerini kötüye kullanıyor. Kampanyaların hedefleri arasında Güney Kore ve ABD’deki kuruluşlar yer alıyor
📰 Siber Dünya’da
- Sandvine 56 “Demokratik Olmayan” Ülke Bıraktı: Orta kutuların arkasındaki şirket olan Sandvine kolaylaştırılmış ticari casus yazılımların son derece hedefli saldırıların bir parçası olarak teslim edilmesi, 32 ülkeden çıktığını ve dijital haklara yönelik artan tehditleri gerekçe göstererek 24 ülkede daha faaliyetlerini durdurma sürecinde olduğunu söyledi. Bu Şubat ayının başlarında şirket ABD Varlık Listesi’ne eklendi. “Derin paket inceleme teknolojisinin kötüye kullanımı, özgür ve adil seçimleri, temel insan haklarını ve devredilemez olduğuna inandığımız diğer dijital özgürlükleri tehdit eden uluslararası bir sorundur,” dedi söz konusuYenileme kapsamında hangi ülkelerin çıkacağını açıklamadı.
- .mobi Alan Adı 20 Dolara Satın Alındı: watchTowr Labs araştırmacıları harcanmış .mobi üst düzey alan adı (TLD) ile ilişkili eski bir WHOIS sunucusu alan adını edinmek ve bu alan adına bir WHOIS sunucusu kurmak için yalnızca 20 dolar. Bu, 4 Eylül 2024’te sona eren beş günlük bir süre boyunca 135.000’den fazla benzersiz sistemin hala eski WHOIS sunucusunu sorguladığının keşfedilmesine yol açtı; buna hükümet, askeri ve üniversite kuruluşları için siber güvenlik araçları ve posta sunucuları da dahildi. Araştırma ayrıca gösterdi .mobi TLD’sinin tamamı için TLS/SSL sürecinin baltalandığı, çok sayıda Sertifika Yetkilisinin (CA) hala “sahte” WHOIS sunucusunu “bir alan adının sahiplerini ve doğrulama ayrıntılarının nereye gönderileceğini belirlemek” için kullandığının tespit edildiği bildirildi. Google o zamandan beri isminde WHOIS verilerinin TLS alan adı doğrulamalarında kullanılmasının durdurulması için.
- ServiceNow Yanlış Yapılandırmaları Hassas Verileri Sızdırıyor: Binlerce şirket, ServiceNow yanlış yapılandırmaları yoluyla dahili bilgi tabanı (KB) makalelerindeki sırları istemeden ifşa ediyor. AppOmni atfedilen “KB’lerdeki güncel olmayan yapılandırmalar ve yanlış yapılandırılmış erişim denetimleri” sorunu, muhtemelen “KB erişim denetimlerinin sistematik olarak yanlış anlaşılması veya muhtemelen en azından bir örneğin zayıf denetimlerinin klonlama yoluyla başka bir örneğe yanlışlıkla kopyalanması” anlamına geliyor. ServiceNow yayınlandı KB makalelerine kimliği doğrulanmamış erişimi engellemek için örneklerinin nasıl yapılandırılacağına dair rehberlik.
- Google Cloud Document AI Hatası Düzeltildi: Yanlış yapılandırmalardan bahsetmişken, araştırmacılar kurmak Google Cloud’un Document AI hizmetindeki aşırı izin verici ayarların tehdit aktörleri tarafından Cloud Storage kovalarına girmek ve hassas bilgileri çalmak için kullanılabileceği. Vectra AI, bu güvenlik açığını geçişli erişim kötüye kullanımı örneği olarak tanımladı.
- Microsoft, EDR Yazılımı için Çekirdek Erişiminin Sonlandırılmasını Planlıyor: Temmuz 2024’teki CrowdStrike güncelleme kazasının yarattığı büyük çaplı olumsuzlukların ardından Microsoft, Windows 11’in güvenlik yazılımı üreticilerine daha fazla güvenlik yeteneği sağlayan “geliştirilmiş güvenlik duruşunu ve güvenlik varsayılanlarını” vurguladı. çekirdek modu erişimiAyrıca “güvenlikten ödün vermeden gelişmiş güvenilirlik” elde etmek için ekosistem ortaklarıyla iş birliği yapılacağını da belirtti.
🔥 Siber Güvenlik Kaynakları ve Görüşleri
— Yaklaşan Web Seminerleri
- Sıfır Güven: Fidye Yazılımlarına Karşı Zırh: Zscaler’dan Emily Laufer ile 2024 Fidye Yazılımı Raporu’na derinlemesine bir dalış yapmak, en son trendleri, ortaya çıkan tehditleri ve kuruluşunuzu koruyabilecek sıfır güven stratejilerini ortaya çıkarmak için bir sonraki web seminerimize katılın. Başka bir istatistik olmayın – Hemen kaydolun ve geri dönün!
- SIEM Yeniden Başlatma: Aşırı Yüklenmeden Gözetimsizliğe: Verilerde boğuluyor musunuz? SIEM’iniz bir cankurtaran olmalı, bir baş ağrısı değil. Eski SIEM’in nasıl yanlış gittiğini ve modern bir yaklaşımın performansı feda etmeden güvenliği nasıl basitleştirebileceğini keşfetmek için bize katılın. SIEM’in kökenlerine, mevcut zorluklarına ve gürültüyü kesip güvenliğinizi güçlendirmek için topluluk odaklı çözümlerimize dalacağız. SIEM’e yeni bir bakış açısı için hemen kaydolun!
— Uzmana Sor
- Q: Sıfır Güven, geleneksel Çevre Savunmasından temel olarak nasıl farklıdır ve bir organizasyonu Çevre Savunma modelinden Sıfır Güven mimarisine geçirirken karşılaşılan temel zorluklar ve avantajlar nelerdir?
- A: Sıfır Güven ve çevre savunması bilgisayar sistemlerini korumak için iki yoldur. Sıfır Güven, kapılarınızda birden fazla kilit olması VE her odada kimlik kontrolü yapmak gibidir, yani kimseye güvenmez ve her şeye erişmeye çalışan herkesi ve her şeyi sürekli olarak doğrular. Bilgisayar korsanlarını durdurmak için harika bir yoldur, içeri sızmayı başarsalar bile ve insanlar farklı yerlerden çalıştığında veya bulut hizmetlerini kullandığında iyi çalışır. Çevre savunması, kalenizin etrafında kötü adamları uzak tutmaya odaklanan güçlü bir duvar olması gibidir. Ancak, biri içeri girerse, içerideki her şeye kolayca erişebilir. Bu eski yaklaşım, günümüzün tehditleri ve uzaktan çalışma durumlarıyla mücadele eder. Sıfır Güven’e geçmek, güvenlik sisteminizi yükseltmek gibidir, ancak zaman ve para gerektirir. Çok daha iyi koruma sağladığı için buna değer. Unutmayın, bu tek bir şey değil, güvenlik hakkında tamamen yeni bir düşünme biçimidir ve küçük başlayıp zamanla büyütebilirsiniz. Ayrıca, duvarı tamamen ortadan kaldırmayın, temel koruma için hala faydalıdır.
— Siber Güvenlik Terimleri Açıklaması
- Polimorfik Kötü Amaçlı Yazılım: Antivirüsünüzü kandırmak için sürekli kılık değiştiren sinsi bir virüs hayal edin. Bir bukalemun gibidir, yakalanması zordur.
- Metamorfik Kötü Amaçlı Yazılım: Bu daha da zor! Bir şekil değiştirici gibi, sadece kıyafet değiştirmekle kalmıyor, vücudunu da tamamen dönüştürüyor. Her enfekte ettiğinde kendi kodunu yeniden yazıyor, bu da antivirüsün onu tanımasını neredeyse imkansız hale getiriyor.
— Haftanın İpucu
“Tıklamadan Önce Düşün” Labirenti: Gerçek dünya senaryolarına dayalı bir dizi karar noktasında gezinin ve kimlik avı tuzaklarından ve diğer çevrimiçi tehditlerden kaçınmak için en güvenli seçeneği belirleyin.
Çözüm
“Hata yapmak insana özgüdür; affetmek ilahi.” – Alexander Pope. Ancak siber güvenlik alanında affetmenin bedeli ağır olabilir. Bu hatalardan ders çıkaralım, savunmamızı güçlendirelim ve dijital dünyayı herkes için daha güvenli bir yer haline getirelim.