Giriş
Microsoft, örtülü bir şekilde kötü amaçlı yazılım dağıtımı yapan bir hizmetin işleyişini durdurduğunu duyurdu. Bu durum, dünya genelinde binlerce makine ve ağı tehdit ederken, siber güvenlik açısından büyük bir öneme sahiptir.
Saldırı Nasıl Çalışıyor?
Microsoft’un “Fox Tempest” olarak adlandırdığı tehdit aktörleri, yazılımları meşru bir biçimde gizlemek için kendi kurdukları Malware Signing-as-a-Service (MSaaS) sistemini kullanıyor. Bu mekanizma, kötü amaçlı yazılımların, meşru yazılımlar gibi görünmesini sağlıyor. Microsoft, OpFauxSign kod adıyla yürütülen operasyon sonucunda Fox Tempest’in faaliyetlerinin engellendiğini açıkladı.
- Rhysida fidye yazılımı ve diğer kötü amaçlı yazılım türlerinin dağıtımında Fox Tempest’in rolü büyüktür.
- Oyster, Lumma Stealer ve Vidar gibi farklı kötü amaçlı yazılımlar aynı zamanda bu hizmet aracılığıyla kullanılmaktadır.
Etkilenen Sistemler
Fox Tempest’in faaliyetleri, Amerika Birleşik Devletleri, Fransa, Hindistan ve Çin gibi ülkelerdeki sağlık, eğitim, devlet ve finans sektörlerini hedef aldı. Bu durum, siber suç ekosisteminde nasıl geniş bir etki yarattığını gözler önüne seriyor.
Çözüm ve Korunma
Microsoft’un Artifact Signing hizmeti üzerinden, kötü amaçlı yazılımların imzalanmasında kullanılan sahte dijital imza sertifikaları iki gün boyunca geçerli olabiliyordu. Fox Tempest bu sertifikaları elde etmek için, legit kimlikleri çalmış ve gerekli dijital kimlik bilgilerini sağlamış olabilir.
- Microsoft, signspace[.]cloud adresine yaptıkları baskın sonucunda birçok sanal makineyi devre dışı bırakmayı başardı.
- Kullanıcıların kötü amaçlı dosyaları yüklemek için sahte imzalar almasına olanak tanıyan bu sistemin durdurulması, siber suçları daha maliyetli hale getiriyor.
Aksiyon
Okuyucular, sistemlerini korumak için hemen aşağıdaki adımları atmalıdır:
- Güncellemeleri takip edin: Tüm sistem yazılımlarınızı ve güvenlik duvarlarınızı düzenli olarak güncelleyin.
- Port kapatın: Gerekmedikçe dışa açılan portları kapatın.
- Yetkisiz yazılımları kontrol edin: Sisteminize yüklenen tüm yazılımları düzenli olarak gözden geçirin.
Etkilenen sistemlerdeki güvenlik önlemlerini artırmak, saldırganların meşru yazılımları kötü amaçlı hale getirmelerini zorlaştıracaktır. Bunun yanında, sahte sertifika veya kullanıcı bilgileri kullanıma rağmen, güncel güvenlik önlemleriyle bu tehditleri minimize etmek mümkündür.
