Güvenlik Açıkları ve Yeni Tehditler
Son zamanlarda, siber güvenlik araştırmacıları, Ivanti Connect Secure cihazlarını hedef alan yeni bir zararlı yazılım olan MDifyLoader’ın detaylarını açıkladı. JPCERT/CC tarafından yayınlanan bir raporda, bu zararlı yazılımın, iki özellikle sızmalarla ilişkilendirildiği belirtiliyor. Bu özellikler, CVE-2025-0282 ve CVE-2025-22457 olarak adlandırılıyor ve uzaktan kod çalıştırma gibi ciddi güvenlik açıkları içeriyor.
CVE-2025-0282 ve CVE-2025-22457
CVE-2025-0282, ICS (Ivanti Connect Secure) sistemlerinde kimlik doğrulamasız uzaktan kod çalıştırma olanağı sağlayan kritik bir güvenlik açığıdır. Ivanti, bu güvenlik açığını Ocak 2025‘te düzeltmiştir. Diğer bir güvenlik açığı olan CVE-2025-22457 ise, yığın tabanlı tampon taşması ile alakalıdır ve bu açığın da Nisan 2025’te çözülmesi sağlanmıştır. Her iki açıktan da yararlanarak, saldırganlar MDifyLoader’ı kullanmakta ve bu zararlı yazılım üzerinden Cobalt Strike yüklemektedir.
Zararlı Yazılımın Dağıtım Yöntemleri
MDifyLoader, açık kaynaklı bir proje olan libPeConv’a dayanarak oluşturulmuştur. JPCERT/CC araştırmacısı Yuma Masubuchi, “MDifyLoader, şifrelenmiş bir veri dosyasını yükleyerek Cobalt Strike Beacon’ı bellek üzerinde çalıştırır” şeklinde ifade etti. Araştırmalar ayrıca, saldırganların DLL yan yükleme tekniklerini kullandıklarını göstermektedir. Bu yöntem, MDifyLoader’ın çalıştırılmasına olanak tanımaktadır.
Cobalt Strike Beacon sürüm 4.5 olarak tanımlanmıştır ve bu sürüm, Aralık 2021’de piyasaya sürülmüştür. Haklayıcı gruplar tarafından benimsenen diğer bir araç ise, Go tabanlı uzaktan erişim aracı VShell’dır. VShell, özellikle Çince sistem dillerini kontrol etme özelliği taşımakta ve bu durum, saldırganların da dikkatini çekmiştir.
Sistem İçinde Yayılan Tehditler
Araştırmalar, saldırganların iç ağa sızdıktan sonra FTP, MS-SQL ve SSH sunucularına karşı brute-force saldırıları gerçekleştirdiğini ortaya koymuştur. EternalBlue SMB açığı (MS17-010) kullanarak, kimlik bilgilerini elde etmeye çalışmışlardır. Masubuchi’ye göre, saldırganlar yeni alan hesapları oluşturmuş ve bunları mevcut gruplara ekleyerek, daha önce ele geçirilen kimlik bilgileri iptal edilse dahi hala ağa erişim sağlama yetisini elde etmişlerdir.
Saldırganlar, ayrıca, zararlı yazılımlarını bir hizmet veya görev zamanlayıcısı olarak kaydederek, sistem başlangıcında ya da belirli olay tetikleyicileri olduğunda sürekli çalışmasını sağlamak için çaba sarf etmişlerdir.
Araştırmaların Sonuçları ve Önlemler
JPCERT/CC, yapılan analizlerde, VShell aracının sürekli olarak çalıştırılmaya çalışıldığını ve saldırganların her seferinde yeni bir sürüm kurup çalıştırmayı denediklerini belirtmektedir. Her defasında başarısız olan bu girişimlerin, büyük ihtimalle iç testler için amaçlandığı ve kurulum sırasında etkin bırakıldığı düşünülmektedir.
Fscan olarak bilinen başka bir Go tabanlı ağ tarama aracı da araştırmalar sırasında tespit edilmiştir ve bu aracın kullanımı, saldırganların nasıl bir saldırı yapısı kurduğu konusunda önemli ipuçları vermektedir. Fscan’in çalıştırılma akışı, loader aracılığıyla gerçekleştirilirken, bu loader, açık kaynaklı FilelessRemotePE aracını kullanmaktadır.
Yeni Tehditlerin Önlenmesi
Siber güvenlik alanında, şirketlerin ve bireylerin bu tür saldırılara karşı tedbir alması önemlidir. Kullanıcıların güncel güvenlik yamaları yüklemesi ve güçlü şifreler belirlemesi, bu tür zararlı yazılımların etkisini azaltacak önlemler arasında yer almaktadır. Ayrıca, sistemlerin düzenli olarak taranması ve olası açıkların hızlı bir şekilde kapatılması gerekmektedir.
Sonuç olarak, MDifyLoader gibi yeni tehditlerin ortaya çıkması, siber güvenlik alanında dikkat edilmesi gereken önemli unsurları gündeme getirmektedir. Hackleme tekniklerinin evrimi, sürekli bir tehdit oluşturmaktadır ve bu sebeple, teknoloji şirketleri ve kullanıcıların sürekli olarak kendilerini güncellemeleri ve korumaları büyük önem taşımaktadır.
