Siber Güvenlik

Acil: Çin Bağlantılı Hırsızlar Asya Hükümetlerini ve Gazetecileri Hedef Alıyor

teknomers
teknomers

Yeni Çin Destekli Casusluk Saldırısı

Güvenlik araştırmacıları, Güney, Doğu ve Güneydoğu Asya’nın yanı sıra NATO’ya ait bir Avrupa hükümetini hedef alan yeni bir Çin bağlantılı casusluk kampanyasının ayrıntılarını açıkladı. Trend Micro, bu faaliyeti geçici olarak SHADOW-EARTH-053 adıyla takip edilen bir tehdit grubu ile ilişkilendiriyor.

Contents

Saldırı Nasıl Çalışıyor?

Saldırgan grup, internet ile bağlantılı olan Microsoft Exchange ve Internet Information Services (IIS) sunucularındaki N-gün güvenlik açıklarını (örneğin, ProxyLogon zinciri) kullanarak sisteme sızmakta, ardından kalıcı erişim için Godzilla web shell’lerini deploy etmekte ve meşru imzalı yürütülebilir dosyaların DLL yan yüklemesiyle ShadowPad implantlarını sahnelemektedir. Bu kampanyanın hedefleri arasında Pakistan, Tayland, Malezya, Hindistan, Myanmar, Sri Lanka ve Tayvan bulunmaktadır. Ayrıca, Polonya isimli tek Avrupa ülkesi de bu saldırılardan etkilenmiştir.

Etkilenen Sistemler

Saldırıların başlangıç noktası, bilinen güvenlik açıklarının istismar edilerek yamalanmamış sistemlere erişim sağlanmasıdır. Web shell’ler, komutların yürütülmesi için bir dağıtım aracı olarak işlev görür ve sonuçta ShadowPad arka kapısının AnyDesk aracılığıyla dağıtımı gerçekleştirilir. En az bir durumda, React2Shell (CVE-2025-55182) silahlandırması, Noodle RAT (diğer adıyla ANGRYREBEL) için bir Linux sürümünün dağıtılmasına yardımcı olmuştur. Google Tehdit İstihbarat Grubu (GTIG), bu saldırı zincirini UNC6595 olarak bilinen bir grupla ilişkilendirmiştir.

Çözüm ve Korunma

Trend Micro, SHADOW-EARTH-053 grubunun ana girdi vektörlerinin internetle bağlantılı IIS uygulamalarındaki güvenlik açıkları olduğunu belirtmektedir. Önerilen önlemler:

  • Microsoft Exchange ve IIS üzerinde barındırılan web uygulamaları için en son güvenlik güncellemeleri ve toplu yamanın uygulanması önemlidir.
  • Acil yamalamanın mümkün olmadığı senaryolar için, özellikle bu bilinen CVE’ler karşısında exploit girişimlerini engellemek amacıyla özel olarak ayarlanmış Intrusion Prevention Systems (IPS) veya Web Application Firewalls (WAF) uygulanması önerilmektedir.

Sonuç olarak, sistemlerinizi düzenli olarak güncelleyerek, potansiyel açıkları kapatarak ve güvenlik duvarı kurallarınızı güçlendirerek proaktif bir yaklaşım benimseyin. Port kapatma gibi geçici çözümlere de dikkat etmeyi unutmayın!

Microsoft Authenticator’da Şifre Depolama ve Otomatik Doldurma Özelliği Kaldırılıyor: Kullanıcıların Yapması Gerekenler

Firmware Kusurları Sunucular İçin “Işıkların Sönmesine” Neden Olabilir
Yardım Masanızın En Büyük Güvenlik Açığı Olmasının Rahatsız Edici Nedeni
Yeni KCodes NetUSB Hatası Farklı Satıcılardan Milyonlarca Yönlendiriciyi Etkiliyor
Cyberattack Küresel Bakır Grubunu Vuruyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Pentagon’un AI Kullanımı İçin Nvidia, Microsoft ve AWS ile Anlaşmaları
Sonraki Makale Yapay Zeka Tartışmaları: Kingdom Come Geliştirici İfadelere Yanıt Verdi

Sanal Medya

Son Eklenenler

Tanrıların İntikamı: God of War Laufey’de Sürpriz Karakterler Bekleniyor
Oyun
JMGO N3 Ultimate projektör, yeni taşınabilir 4K şampiyonu mu?
Liste
Laravel AI SDK ile ReAct Sohbet Ajanı Geliştirme
Yazılım
Final Fantasy Revelasyonu: Definitif Son Ama Yan Hikayelere Kapı Aralıyor
Oyun
Final Fantasy 7’de Bulut’u Kara Büyücüye Dönüştüren Yenilikçi Sistem
Oyun
Yenilenen Korku Hikayesi: Michael Myers Maskesi ve Bıçağını Buldu
Oyun