Güvenlik araştırmacıları, bilgisayar korsanlarının toplu saldırılar başlatmak için popüler bir dosya aktarım teknolojisindeki başka bir yüksek riskli güvenlik açığından aktif olarak yararlandıkları konusunda uyarıyor.

Siber güvenlik şirketi Huntress’teki araştırmacılara göre, CVE-2024-50623 olarak takip edilen güvenlik açığı, Illinois merkezli kurumsal yazılım şirketi Cleo tarafından geliştirilen yazılımı etkiliyor.

Kusur ilk olarak Cleo tarafından açıklandı. güvenlik danışmanlığı 30 Ekim’de, istismarın uzaktan kod yürütülmesine yol açabileceği konusunda uyardı. Kuruluşların dosya aktarımlarını yönetmek için yaygın olarak kullandığı Cleo’nun LexiCom, VLTransfer ve Harmony araçlarını etkiliyor.

Cleo, Ekim ayında güvenlik açığına yönelik bir yama yayınladı ancak Pazartesi günü bir blog Huntress, yamanın yazılım kusurunu hafifletmediği konusunda uyardı.

Huntress güvenlik araştırmacısı John Hammond, şirketin 3 Aralık’tan bu yana tehdit aktörlerinin “bu yazılımı topluca istismar ettiğini” gözlemlediğini söyledi. 1.700’den fazla Cleo LexiCom, VLTransfer ve Harmony sunucusunu koruyan Huntress’in, sunucuları bu yazılıma sahip en az 10 işletme keşfettiğini ekledi. tehlikeye atılmıştı.

Hammond, “Şu ana kadar kurban kuruluşlar arasında çeşitli tüketici ürünleri şirketleri, lojistik ve nakliye kuruluşları ve gıda tedarikçileri yer aldı” diye yazdı ve diğer birçok müşterinin saldırıya uğrama riskiyle karşı karşıya olduğunu ekledi.

Herkese açık cihazlar ve veritabanları için bir arama motoru olan Shodan, listeler Çoğunluğu ABD’de bulunan yüzlerce savunmasız Cleo sunucusu

Cleo’da var 4.200’den fazla müşteriABD’li biyoteknoloji şirketi Illumina, spor ayakkabı devi New Balance ve Hollandalı lojistik firması Portable dahil.

Huntress, bu saldırıların arkasındaki tehdit aktörünü henüz belirlemedi ve etkilenen Cleo müşterilerinden herhangi bir verinin çalınıp çalınmadığı bilinmiyor. Ancak Hammond, şirketin bilgisayar korsanlarının savunmasız sistemleri tehlikeye attıktan sonra “istismar sonrası faaliyet” gerçekleştirdiğini gözlemlediğini belirtti.

Cleo, TechCrunch’ın sorularına yanıt vermedi ve kusura karşı koruma sağlayan bir yama henüz yayınlamadı. Huntress, Cleo müşterilerinin, yeni bir yama yayınlanana kadar internete açık tüm sistemlerini bir güvenlik duvarının arkasına taşımasını tavsiye ediyor.

Kurumsal dosya aktarım araçları, bilgisayar korsanları ve gasp grupları arasında popüler bir hedeftir. Geçen yıl, Rusya bağlantılı Clop fidye yazılımı çetesi binlerce kurbanın olduğunu iddia etti. Progress Software’in MOVEit Transfer ürünündeki sıfır gün güvenlik açığından yararlanılıyor. Aynı çete daha önce de Fortra’nın 130’dan fazla kuruluşu hedeflemek için kullanılan GoAnywhere yönetimli dosya aktarım yazılımındaki bir güvenlik açığından toplu olarak yararlanılmasından payını almıştı.

Bir güvenlik araştırmacısı, kötü niyetli bilgisayar korsanlarının ışıkları değiştirip trafik sıkışıklığı yaratmasına olanak verebilecek bir trafik ışığı kontrolöründe bir kusur bulduğunu söyledi.

Siber güvenlik firması Red Threat’te araştırmacı olan Andrew Lemon, iki rapor yayınladı Blog gönderiler Perşembe günü, trafik kontrolörlerinin güvenliğini araştıran daha geniş kapsamlı bir araştırma projesinin bulgularını ayrıntılarıyla anlattı.

Lemon’un incelediği cihazlardan biri de Intelight X-1’di. Bir hata bulduğunu söyledi herkesin trafik ışıklarının tam kontrolünü ele geçirmesine izin veren bir hata. Lemon’a göre, hata çok basit ve temel: Cihazın internete açık web arayüzünde kimlik doğrulaması yok.

Lemon, TechCrunch’a “Sadece inanamadım,” dedi. “Bu kadar bariz bir şeyin gözden kaçmış olmasına çok şaşırdım.”

Lemon, filmlerde gösterilen senaryoya benzer bir senaryoyu tetiklemenin mümkün olup olmadığını görmek için çabaladığını söyledi. İtalyan işibilgisayar korsanlarının bir kavşaktaki tüm ışıkları yeşile çevirdiği bir durum. Ancak Lemon, Arıza Yönetim Birimi adı verilen başka bir cihazın bu senaryonun gerçekleşmesini engellediğini söyledi.

“Işıklarda ve zamanlamada hala değişiklikler yapabilirsiniz. Yani zamanlamayı bir yöne üç dakika, diğer yöne üç saniye olarak ayarlamak isterseniz. Temel olarak bu fiziksel dünyada bir hizmet reddidir, bu yüzden trafiği tıkayabilirsiniz,” dedi Lemon.

İnternetten kaç tane savunmasız Intelight cihazının erişilebilir olduğu belirsiz. Lemon, kendisi ve ekibinin yaklaşık 30 savunmasız cihaz bulduğunu söyledi.

Lemon, Intelight’ın sahibi olan şirket Q-Free’ye hatayı bildirmek için ulaştığını söyledi. Lemon’a göre, Q-Free hatayı düzeltmek için ona yanıt vermek ve onunla etkileşim kurmak yerine ona yasal bir mektup gönderdi ve Lemon da bunun bir kopyasını blog yazısında yayınladı.

“Sadece şu anda satışa sunulan Q-Free ürünleriyle ilgili güvenlik açığı raporlarını kabul ediyoruz. Güncel olmayan ürünlerin analizlerini değerlendirmek için gerekli kaynaklara sahip değiliz,” Q-Free’nin genel danışmanı Steven D. Tibbets tarafından imzalanmış gibi görünen mektubun kopyasında yer alıyor.

Mektubun kopyasında Lemon’un analiz ettiği cihazın satılık olmadığı ve kendisinin ve Red Threat’in araştırma şeklinin anti-hack yasası olan Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasası’nı ihlal etmiş olabileceği yazıyordu. Şirket, Lemon’un araştırmasının yasayı nasıl ihlal etmiş olabileceğini belirtmedi. Mektupta daha sonra Lemon ve Red Threat’ten güvenlik açığının ayrıntılarını yayınlamayacaklarına dair söz vermeleri istendi çünkü bu ulusal güvenliğe zarar verebilirdi.

Mektupta, “Ayrıca Red Threat’i, Q-Free cihazlarının kullanıldığı kritik altyapının güvenliği üzerindeki yayının etkisini göz önünde bulundurmaya çağırıyoruz. Siber güvenliği iyileştirme yönündeki belirtilen amaçlarınıza aykırı olarak, güvenlik açıklarının yayınlanması altyapıya yönelik saldırıları teşvik edebilir ve Red Threat için ilişkili bir sorumluluk yaratabilir” ifadeleri yer aldı.

Lemon, mektubun kendisini şaşırttığını ve “Sanki beni yasal tehditlerle ve her şeyle susturmaya çalışıyorlarmış gibi hissettim” dedi.

Q-Free, yorum talebine birden fazla kez yanıt vermedi.

Lemon, araştırması sırasında Econolite firmasına ait bazı trafik kontrol cihazlarının internete açık olduğunu ve potansiyel olarak güvenlik açığı bulunan bir protokol çalıştırdığını da söyledi.

Protokolün adı NTCIP ve bu, trafik ışığı kontrolörleri için bir endüstri standardıdır. Lemon, internette ifşa edilen cihazlar için, sisteme giriş yapmadan sistemdeki değerleri değiştirmenin mümkün olduğunu söyledi. Bu değerlerin, ışıkların ne kadar süre yanıp söneceğini kontrol edebileceğini veya bir kavşaktaki tüm ışıkların aynı anda yanıp sönmesini sağlayabileceğini söyledi.

Lemon, NTCIP sorunlarının daha önceden bilinmesi nedeniyle Econolite ile iletişime geçmediğini söyledi.

Econolite’ta mühendislik başkan yardımcısı olan Sunny Chakravarty, yorum için kendisine ulaşıldığında bunu doğruladı. Chakravarty, TechCrunch’a Lemon tarafından test edilen Econolite cihazlarının “uzun yıllardır kullanım ömrünün sonuna geldiğini ve tüm kullanıcıların bu eski kontrol cihazlarını uygun yeni ürün modelleriyle değiştirmeleri gerektiğini” söyledi.

Chakravarty, “Econolite, müşterilerin tüm güvenlik açısından kritik ekipmanlar için ağ güvenliği ve erişim kontrolü için en iyi uygulamaları takip etmelerini ve bu ekipmanlara erişimi açık kamusal İnternet’te kısıtlamalarını şiddetle tavsiye ediyor,” dedi. “Yazarın denetleyici üzerinde gerçekleştirdiği eylemler, cihaz açık İnternet’e maruz kalmasaydı mümkün olmazdı.”

12 Haziran 2024Haber odası

Çin’in desteklediği devlet destekli tehdit aktörleri, 2022 ile 2023 yılları arasında bilinen bir kritik güvenlik açığından yararlanarak dünya çapında 20.000 Fortinet FortiGate sistemine erişim elde etti; bu da operasyonun önceden bilinenden daha geniş bir etkiye sahip olduğunu gösteriyor.

Hollanda Ulusal Siber Güvenlik Merkezi (NCSC) “Bu kampanyanın arkasındaki devlet aktörü, Fortinet’in bu güvenlik açığını açıklamasından en az iki ay önce FortiGate sistemlerindeki bu güvenlik açığından zaten haberdardı” dedi. söz konusu yeni bir bültende. “Bu sözde sıfır gün döneminde, aktör tek başına 14.000 cihaza virüs bulaştırdı.”

Kampanya, onlarca Batılı hükümeti, uluslararası kuruluşu ve savunma sanayisinde faaliyet gösteren çok sayıda şirketi hedef aldı. Kuruluşların isimleri açıklanmadı.

Bulgular, saldırganların uzaktan kod yürütülmesine izin veren CVE-2022-42475’i (CVSS puanı: 9,8) kullanarak Hollanda silahlı kuvvetleri tarafından kullanılan bir bilgisayar ağını ihlal ettiğini tespit eden Şubat 2024 tarihli daha önceki bir tavsiye belgesine dayanıyor.

İzinsiz giriş, ele geçirilen cihazlara kalıcı uzaktan erişim sağlamak ve daha fazla kötü amaçlı yazılım için bir başlangıç ​​noktası görevi görmek üzere tasarlanmış, aktör kontrollü bir sunucudan COATHANGER kod adlı bir arka kapının konuşlandırılmasının yolunu açtı.

NCSC, saldırganın cihazlar üzerindeki kontrolünü sürdürmek amacıyla ilk erişim elde ettikten uzun süre sonra kötü amaçlı yazılım yüklemeyi seçtiğini ancak kaç kurbanın cihazlarına implant bulaştığının net olmadığını söyledi.

Son gelişme, siber saldırıların devam eden eğilimini bir kez daha vurguluyor uç cihazları hedefleme çıkar ağlarını ihlal etmek.

NCSC, “Son cihazların güvenlik sorunları nedeniyle, bu cihazlar kötü niyetli aktörler için popüler bir hedeftir” dedi. “Edge cihazları BT ağının ucunda bulunur ve düzenli olarak internete doğrudan bağlantıya sahiptir. Ayrıca bu cihazlar genellikle Uç Nokta Tespit ve Yanıt (EDR) çözümleri tarafından desteklenmez.”

17 Mayıs 2024Haber odasıCryptojacking / Kötü Amaçlı Yazılım

Cryptojacking grubu olarak bilinen akrabalık Arsenal’den yararlanmak ve botnet’ini genişletmek için yeni açıklanan güvenlik açıklarını hızlı bir şekilde entegre ederek kalıcı bir tehdit olduğunu kanıtlayarak sürekli gelişme ve uyum sağlama yeteneğini kanıtladı.

bulgular Tehdit aktörünün 2019’dan bu yana yasadışı kripto para birimi madenciliği kampanyalarını aktif olarak düzenlediğini belirten bulut güvenlik firması Aqua’dan geliyor.

Kinsing (diğer adıyla H2MinerHem kötü amaçlı yazılıma hem de arkasındaki düşmana verilen ad, virüslü sistemleri bir kripto madenciliği botnet’ine kaydetmek için araç setini sürekli olarak yeni güvenlik açıklarıyla genişletti. Oldu ilk belgelenen TrustedSec tarafından Ocak 2020’de.

Son yıllarda Golang tabanlı kötü amaçlı yazılımları içeren kampanyalar silah haline getirildi çeşitli kusurlar Apache ActiveMQ, Apache Log4j, Apache NiFi, Atlassian Confluence’da, Citrix, Liferay PortalıLinux, Openfire, Oracle WebLogic Sunucusu ve Tuz Yığını Savunmasız sistemleri ihlal etmek.

Diğer yöntemler de yanlış yapılandırılmış istismarları içeriyordu Liman işçisiPostgreSQL ve Redis örnekleri ilk erişimi elde etmek için, ardından uç noktalar kripto madenciliği için bir botnet’e sıralanır, ancak önce güvenlik hizmetleri devre dışı bırakılır ve ana bilgisayarlarda zaten yüklü olan rakip madenciler kaldırılır.

2021’de CyberArk tarafından yapılan sonraki analiz ortaya çıkarıldı Kinsing ile NSPPS adı verilen başka bir kötü amaçlı yazılım arasındaki benzerlikler, her iki türün de “aynı aileyi temsil ettiği” sonucuna varıyor.

Kinsing’in saldırı altyapısı üç ana kategoriye ayrılıyor: Güvenlik açıklarını taramak ve kullanmak için kullanılan başlangıç ​​sunucuları, yüklerin ve komut dosyalarının hazırlanmasından sorumlu indirme sunucuları ve ele geçirilen sunucularla iletişimi sürdüren komut ve kontrol (C2) sunucuları.

C2 sunucuları için kullanılan IP adresleri Rusya’ya çözümlenirken, komut dosyalarını ve ikili dosyaları indirmek için kullanılan IP adresleri Lüksemburg, Rusya, Hollanda ve Ukrayna gibi ülkeleri kapsar.

Aqua, “Kinsing, farklı araçlarla çeşitli işletim sistemlerini hedef alıyor” dedi. “Örneğin Kinsing, Linux sunucularından yararlanmak için sıklıkla kabuk ve Bash komut dosyalarını kullanıyor.”

“Ayrıca Kinsing’in bir PowerShell betiği kullanarak Windows sunucularındaki Openfire’ı hedeflediğini de gördük. Unix üzerinde çalışırken genellikle x86 veya ARM üzerinde çalışan bir ikili dosya indirmeye çalışır.”

Tehdit aktörlerinin kampanyalarının bir diğer dikkat çekici yönü, hedeflenen uygulamaların %91’inin açık kaynak olması ve grubun çoğunlukla çalışma zamanı uygulamalarını (%67), veritabanlarını (%9) ve bulut altyapısını (8) tek başına seçmesi.

Kredi bilgileri: Forescout

Eserlerin kapsamlı bir analizi ayrıca üç farklı program kategorisini ortaya çıkardı:

• Tip I ve Tip II komut dosyalarıİlk erişimden sonra dağıtılan ve sonraki aşama saldırı bileşenlerini indirmek, rekabeti ortadan kaldırmak ve güvenlik duvarını devre dışı bırakarak, SELinux, AppArmor ve Aliyun Aegis gibi güvenlik araçlarını sonlandırarak savunmalardan kaçınmak için kullanılan . rootkit dağıtma kötü amaçlı süreçleri gizlemek için

• Yardımcı komut dosyalarıBir güvenlik açığından yararlanarak ilk erişimi gerçekleştirmek, bir Linux sisteminden Alibaba Cloud ve Tencent Cloud hizmetleriyle ilişkili belirli güvenlik bileşenlerini devre dışı bırakmak, saldırganın kontrolü altındaki bir sunucuya ters kabuk açmak ve madenci yüklerinin alınmasını kolaylaştırmak için tasarlanan .

• İkili dosyalarTemel Kinsing kötü amaçlı yazılımı ve madenci Monero’ya yönelik kripto madencisini içeren ikinci aşama bir yük görevi gören .

Kötü amaçlı yazılım, diğerlerinin yanı sıra, madencilik sürecini takip etmek ve süreç tanımlayıcısını (PID) C2 sunucusuyla paylaşmak, bağlantı kontrolleri yapmak ve yürütme sonuçlarını göndermek için tasarlandı.

Aqua, “Kinsing, kripto madencilerini çalıştırmak için genellikle web uygulamalarındaki güvenlik açıklarından veya Docker API ve Kubernetes gibi yanlış yapılandırmalardan yararlanarak Linux ve Windows sistemlerini hedef alıyor” dedi. “Kinsing gibi potansiyel tehditleri önlemek için, dağıtım öncesi iş yükünün sertleştirilmesi gibi proaktif önlemler çok önemlidir.”

Açıklama, botnet kötü amaçlı yazılım ailelerinin erişim alanlarını genişletmenin ve kötü amaçlı faaliyetleri yürütmek üzere makineleri bir ağa dahil etmenin yollarını giderek daha fazla bulmasıyla ortaya çıktı.

Bunun en iyi örneği, MIPS ve ARM mimarileri için derlenmiş değişkenler sunmak üzere güvenliği zayıf Redis sunucularından yararlandığı tespit edilen bir Rust kötü amaçlı yazılımı olan P2PInfect’tir.

Bu yılın başlarında ARM’yi hedef alan örnekleri keşfeden Nozomi Networks, “Ana yük, madenci ve winminer gibi kendi adlarına konuşan dosya adlarına sahip diğer modüllerin yayılması ve teslim edilmesi de dahil olmak üzere çeşitli işlemleri gerçekleştirme kapasitesine sahip” dedi. söz konusu.

“Adından da anlaşılacağı gibi, kötü amaçlı yazılım, saldırganların komutlarını yaymak için tek bir Komuta ve Kontrol sunucusuna (C&C) ihtiyaç duymadan Eşler Arası (P2P) iletişimleri gerçekleştirme yeteneğine sahiptir.”