<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	xmlns:media="http://search.yahoo.com/mrss/"
>

<channel>
	<title>ZeroDayi &#8211; Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri</title>
	<atom:link href="https://teknomers.com/tag/zerodayi/feed/" rel="self" type="application/rss+xml" />
	<link>https://teknomers.com</link>
	<description>Güncel Spor &#124; Oyun &#124; Teknoloji &#124; Haberleri &#124; Bilimsel Gelişmeler &#124; Uzay &#124; Siber Güvenlik &#124; Blog Yazıları</description>
	<lastBuildDate>Mon, 21 Oct 2024 01:20:46 +0000</lastBuildDate>
	<language>tr</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0.1</generator>
	<item>
		<title>DPRK, Tıklamasız Toast Saldırılarında Microsoft Zero-Day&#8217;i Kullanıyor</title>
		<link>https://teknomers.com/dprk-tiklamasiz-toast-saldirilarinda-microsoft-zero-dayi-kullaniyor/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Mon, 21 Oct 2024 01:20:46 +0000</pubDate>
				<category><![CDATA[Genel]]></category>
		<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[{url:/anahtar kelime/asya-pasifik]]></category>
		<category><![CDATA[#microsoft]]></category>
		<category><![CDATA[dprk]]></category>
		<category><![CDATA[Kullanıyor]]></category>
		<category><![CDATA[Saldırılarında]]></category>
		<category><![CDATA[title:DR Küresel Asya Pasifik}]]></category>
		<category><![CDATA[Tıklamasız]]></category>
		<category><![CDATA[Toast]]></category>
		<category><![CDATA[ZeroDayi]]></category>
		<guid isPermaLink="false">https://teknomers.com/2024/10/21/dprk-tiklamasiz-toast-saldirilarinda-microsoft-zero-dayi-kullaniyor/</guid>

					<description><![CDATA[Kuzey Kore destekli gelişmiş kalıcı tehdit APT37 olarak bilinir Araştırmacılar, Microsoft&#8217;un Internet Explorer Web tarayıcısındaki sıfır gün güvenlik açığından yaz boyunca yararlandığını ve bunu Güney Kore hedeflerine sıfır tıklamalı tedarik zinciri kampanyası başlatmak için kullandığını ortaya çıkardı. IE 2022&#8217;de kullanım ömrünün sonuna ulaşmış ve birçok kuruluş artık onu kullanmıyor olsa da, bunu kullanan pek çok [&#8230;]]]></description>
										<content:encoded><![CDATA[<p> <br />
</p>
<div data-module="content">
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Kuzey Kore destekli gelişmiş kalıcı tehdit </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">APT37 olarak bilinir</span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">  Araştırmacılar, Microsoft&#8217;un Internet Explorer Web tarayıcısındaki sıfır gün güvenlik açığından yaz boyunca yararlandığını ve bunu Güney Kore hedeflerine sıfır tıklamalı tedarik zinciri kampanyası başlatmak için kullandığını ortaya çıkardı.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">IE 2022&#8217;de kullanım ömrünün sonuna ulaşmış ve birçok kuruluş artık onu kullanmıyor olsa da, bunu kullanan pek çok eski uygulama da mevcut. Bu durumda, </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text"><a rel="nofollow noopener" class="ContentText-BodyTextChunk ContentText-BodyTextChunk_link" target="_blank" href="https://attack.mitre.org/groups/G0067/">APT37</a></span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">  AhnLab SEcurity Intelligence Center&#8217;a (ASEC) göre (diğer adıyla RedAnt, RedEyes, ScarCruft ve Group123), genellikle çeşitli ücretsiz yazılımlarla birlikte yüklenen bir Toast reklam programını özellikle hedef aldı. &#8220;Kızartmalar&#8221;, bilgisayar ekranının sağ alt kısmında görünen açılır bildirimlerdir.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">AhnLab araştırmacılarına göre &#8220;Birçok Toast reklam programı, reklamları görüntülemek üzere Web içeriğini oluşturmak için WebView adı verilen bir özelliği kullanıyor.&#8221; &#8220;Ancak WebView bir tarayıcıya dayalı olarak çalışıyor. Bu nedenle, programı oluşturan kişi kodu yazmak için IE tabanlı WebView kullanmışsa, programdaki IE güvenlik açıklarından da yararlanılabilir.&#8221;</span></p>
<h2 class="ContentText ContentText_variant_h2 ContentText_align_left" data-testid="content-text" id="A Hot-Buttered Zero-Click Toast Exploit" style="scroll-margin-top:10rem;scroll-snap-margin-top:10rem">Sıcak Tereyağlı Sıfır Tıklamalı Tost İstismarı</h2>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">AhnLab&#8217;ın geçen hafta yayınlanan analizine göre, devlet destekli siber saldırı grubu bir reklam ajansının güvenliğini ihlal etti ve ardından hatayı kullanarak şu şekilde takip edildi: </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text"><a rel="nofollow noopener" class="ContentText-BodyTextChunk ContentText-BodyTextChunk_link" target="_blank" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38178">CVE-2024-38178</a></span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">  (CVSS 7.5), ajansın reklam içeriğini insanların masaüstüne indirmek için kullandığı Toast komut dosyasına kötü amaçlı kod enjekte etmek. Komut dosyası, reklamlar yerine kötü amaçlı yazılım dağıtmaya başladı.</span></p>
<p data-component="related-article" class="RelatedArticle"><span data-testid="related-article-title" class="RelatedArticle-Title">İlgili:</span>Güney Koreli APT, Tek Tıklamayla WPS Office Hatasını İstismara Uğradı, Çin Intel&#8217;ini Yakaladı</p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Araştırmacılar, &#8220;Toast Kodu&#8221; adını verdikleri saldırıyla ilgili raporlarında, &#8220;Bu güvenlik açığı, reklam programı reklam içeriğini indirip görüntülerken istismar ediliyor&#8221; dedi. &#8220;Sonuç olarak, kullanıcının herhangi bir etkileşimi olmadan sıfır tıklama saldırısı gerçekleşti.&#8221;</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Teslim edilen kötü amaçlı yazılım, APT37&#8217;nin geçmişte sürekli olarak kullandığı RokRAT&#8217;tır.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Araştırmacılar, &#8220;Sisteme bulaştıktan sonra, uzaktan komutlar gibi çeşitli kötü niyetli davranışlar gerçekleştirilebilir&#8221; dedi ve ekledi: &#8220;Bu saldırıda, kuruluş aynı zamanda kötü niyetli faaliyetlerin kalıcılığını güvence altına almak için Ruby&#8217;yi kullanıyor ve ticari bir bulut sunucusu aracılığıyla komut kontrolünü gerçekleştiriyor. &#8220;</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Saldırının ciddi hasara neden olma potansiyeli olduğunu ancak saldırının erken tespit edildiğini söylediler. AhnLab&#8217;a göre &#8220;Ayrıca, güvenlik açığı yaması sürümü yayınlanmadan önce istismar potansiyeline sahip olduğu doğrulanan diğer Toast reklam programlarına karşı da güvenlik önlemleri alındı.&#8221;</span></p>
<h2 class="ContentText ContentText_variant_h2 ContentText_align_left" data-testid="content-text" id="IE Lurks in Apps, Remains a Cyber Threat" style="scroll-margin-top:10rem;scroll-snap-margin-top:10rem">IE Uygulamalarda Gizleniyor, Siber Tehdit Olarak Kalıyor</h2>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Microsoft, Ağustos Yaması Salı güncelleme listesinde hatayı düzeltti, ancak IE&#8217;nin diğer uygulamalarda yerleşik bir bileşen veya ilgili modül olarak kullanılmaya devam edilmesi endişe verici bir saldırı vektörü ve bilgisayar korsanlarının bu hatayı almaya devam etmeleri için bir teşvik olmaya devam ediyor. </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">IE sıfır gün güvenlik açıkları</span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">.</span></p>
<p data-component="related-article" class="RelatedArticle"><span data-testid="related-article-title" class="RelatedArticle-Title">İlgili:</span>BlankBot Truva Atı Türk Android Kullanıcılarını Hedefliyor</p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">AhnLab araştırmacıları raporda şöyle açıkladı: &#8220;Bu tür saldırılara karşı yalnızca kullanıcıların dikkatini veya antivirüs programını kullanarak savunma yapmak zor değil, aynı zamanda istismar edilen yazılıma bağlı olarak da büyük bir etkiye sahip olabilir.&#8221; </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text"><a rel="nofollow noopener" class="ContentText-BodyTextChunk ContentText-BodyTextChunk_link" target="_blank" href="https://image.ahnlab.com/atip/content/file/20241015/(%EC%A0%84%EC%B2%B4%EB%B3%B8)%EA%B3%B5%EA%B0%9C%EB%B3%B4%EA%B3%A0%EC%84%9C-OperationCodeonToast.pdf">(PDF</a></span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Korece).</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">&#8220;Son zamanlarda Kuzey Koreli bilgisayar korsanlığı gruplarının teknolojik seviyesi daha da ileri seviyeye geliyor ve IE dışındaki çeşitli güvenlik açıklarından yararlanan saldırılar giderek artıyor.&#8221;</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Buna göre kullanıcıların işletim sistemlerini ve yazılımlarını güncel tutmaya dikkat etmeleri gerektiği ancak &#8220;yazılım üreticilerinin de ürün geliştirirken güvenliğe açık geliştirme kütüphaneleri ve modüllerini kullanmamaya dikkat etmeleri gerektiği&#8221; sonucuna varıldı.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text"><span class="ContentText-BodyTextChunk ContentText-BodyTextChunk_italic">Çeviri Google Translate tarafından sağlanmıştır.</span></span></p>
</div>
<p><br />
<br /><a href="https://teknomers.com">siber-1</a></p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Void Banshee APT, Mızraklı Kimlik Avı Saldırılarında Microsoft Zero-Day&#8217;i Kullanıyor</title>
		<link>https://teknomers.com/void-banshee-apt-mizrakli-kimlik-avi-saldirilarinda-microsoft-zero-dayi-kullaniyor/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Tue, 16 Jul 2024 14:57:00 +0000</pubDate>
				<category><![CDATA[Genel]]></category>
		<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[#microsoft]]></category>
		<category><![CDATA[APT]]></category>
		<category><![CDATA[Avı]]></category>
		<category><![CDATA[Banshee]]></category>
		<category><![CDATA[Kimlik]]></category>
		<category><![CDATA[Kullanıyor]]></category>
		<category><![CDATA[Mızraklı]]></category>
		<category><![CDATA[Saldırılarında]]></category>
		<category><![CDATA[Void]]></category>
		<category><![CDATA[ZeroDayi]]></category>
		<guid isPermaLink="false">https://teknomers.com/2024/07/16/void-banshee-apt-mizrakli-kimlik-avi-saldirilarinda-microsoft-zero-dayi-kullaniyor/</guid>

					<description><![CDATA[Gelişmiş kalıcı tehdit (APT) grubunun, Microsoft&#8217;un yama uygulanmamış sıfır günlük açığını nasıl istismar ettiğine dair yeni ayrıntılar ortaya çıktı yemleme kancası Çeşitli uygulamalardan şifreler ve çerezler gibi sistem bilgilerini ve hassas verileri çalan Atlantida Stealer&#8217;ı yayma kampanyası. A Blog yazısı Trend Micro tarafından 15 Temmuz&#8217;da yayınlanan, Void Banshee olarak adlandırılan ve açığı kullanan APT&#8217;nin nasıl [&#8230;]]]></description>
										<content:encoded><![CDATA[<p> <br />
</p>
<div data-module="content">
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Gelişmiş kalıcı tehdit (APT) grubunun, Microsoft&#8217;un yama uygulanmamış sıfır günlük açığını nasıl istismar ettiğine dair yeni ayrıntılar ortaya çıktı </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">yemleme kancası</span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">  Çeşitli uygulamalardan şifreler ve çerezler gibi sistem bilgilerini ve hassas verileri çalan Atlantida Stealer&#8217;ı yayma kampanyası.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">A </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text"><a rel="nofollow noopener" class="ContentText-BodyTextChunk ContentText-BodyTextChunk_link" target="_blank" href="https://www.trendmicro.com/en_us/research/24/g/CVE-2024-38112-void-banshee.html">Blog yazısı</a></span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">  Trend Micro tarafından 15 Temmuz&#8217;da yayınlanan, Void Banshee olarak adlandırılan ve açığı kullanan APT&#8217;nin nasıl çalıştığına dair yeni ışık tutuyor (</span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text"><a rel="nofollow noopener" class="ContentText-BodyTextChunk ContentText-BodyTextChunk_link" target="_blank" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112">(CVE-2024-38112)</a></span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Kuzey Amerika, Avrupa ve Güneydoğu Asya&#8217;daki kurbanlara karşı. Hata, artık emekliye ayrılmış Internet Explorer (IE) tarayıcısı için MSHTML (Trident) motorunda mevcuttur, ancak IE devre dışı bırakılmış veya varsayılan tarayıcı olmasa bile kurbanın makinesinde istismar edilebilir.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Trend Micro kıdemli tehdit araştırmacısı Peter Girnus ve kötü amaçlı yazılım tersine mühendisi Aliakbar Zahravi, gönderide IE&#8217;nin &#8220;tarihsel olarak geniş bir saldırı alanı olmasına rağmen artık herhangi bir güncelleme veya güvenlik düzeltmesi almaması&#8221; göz önüne alındığında bunun &#8220;endişe verici&#8221; bir saldırı olduğunu yazdı.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Araştırmacılar, Void Banshee kampanyasının kurbanları, bulut paylaşım siteleri, Discord sunucuları ve çevrimiçi kütüphaneler gibi sektörler aracılığıyla yayılan kitap PDF&#8217;leri gibi gizlenmiş kötü amaçlı dosyalar içeren zip arşivleri aracılığıyla cezbettiğini buldu. Bu, hem bilgi çalma hem de maddi kazanç için kurbanları hedef alma eğiliminde olan grubun tipik bir taktiğidir, diye belirttiler.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">&#8220;[Atlantida] Araştırmacılar, &#8220;kötü amaçlı yazılım, şifreler ve çerezler gibi depolanmış hassas ve potansiyel olarak değerli verileri çıkarmaya odaklanır ve ayrıca enfekte sistemin masaüstünden belirli uzantılara sahip dosyaları da toplayabilir&#8221; diye yazdı. &#8220;Dahası, kötü amaçlı yazılım kurbanın ekranını yakalar ve kapsamlı sistem bilgileri toplar.&#8221;</span></p>
<h2 class="ContentText ContentText_variant_h2 ContentText_align_left" data-testid="content-text" id="New Details on Zero-Day Exploitation" style="scroll-margin-top:10rem;scroll-snap-margin-top:10rem">Sıfır Gün Sömürüsüne İlişkin Yeni Ayrıntılar</h2>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Ayrı olarak, güvenlik araştırmacıları zaten </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">ortaya çıkarmıştı</span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">  IE&#8217;deki bu açığın, Microsoft&#8217;un yamasıyla düzeltildiği ve kimliği belirsiz tehdit gruplarının bu açığı istismar ettiği ortaya çıktı. </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Temmuz Yama Salı güncellemesi</span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">— Atlantida ve diğer kötü amaçlı yazılımları kötü amaçlı PDF dosyalarında yaymak.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Microsoft, CVE-2024-38112&#8217;yi, başarılı bir şekilde istismar edilirse sistem gizliliği, bütünlüğü ve kullanılabilirliği üzerinde yüksek bir etkiye sahip olabilecek bir sahtecilik güvenlik açığı olarak tanımladı, ancak CVSS güvenlik açığı-önem ölçeğinde ona yalnızca 10 üzerinden 7,5&#8217;lik orta derecede yüksek bir önem derecesi verdi. Bunun nedeni, bir saldırının başarılı olması için saldırganın, diğer faktörlerin yanı sıra, kurbanı silahlandırılmış URL dosyasıyla etkileşime girmeye ikna etmesi gerekmesidir.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Trend Micro&#8217;nun raporunda, Void Banshee&#8217;nin Windows kullanıcılarını, bir kimlik avı kampanyasında hedef kitleyi, bir kitabın PDF kopyalarına benzeyen URL kısayol dosyalarını (özellikle &#8220;Klinik Anatomi&#8221; gibi ders kitapları ve referans materyalleri) açmaya ikna ederek bunu nasıl başardığına dair yeni ayrıntılar yer alıyor.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Araştırmacılar, &#8220;Bu, kampanyanın, sıklıkla referans materyalleri ve kitapların dijital kopyalarının toplandığı yerleri kullanan yüksek vasıflı profesyonelleri ve öğrencileri hedef aldığını gösteriyor&#8221; diye yazdı.</span></p>
<h2 class="ContentText ContentText_variant_h2 ContentText_align_left" data-testid="content-text" id="CVE-2024-38112 Exploitation &amp; Payload Behavior" style="scroll-margin-top:10rem;scroll-snap-margin-top:10rem">CVE-2024-38112 Kullanım ve Yük Davranışı</h2>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Daha önce açıklanan bir saldırı vektörü </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text"><a rel="nofollow noopener" class="ContentText-BodyTextChunk ContentText-BodyTextChunk_link" target="_blank" href="https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/">Check Point güvenlik araştırmacısı Haifei Li</a></span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">  kötü amaçlı kısayolların, varsayılan tarayıcı olmasa bile, Chrome veya Edge gibi daha güvenli bir tarayıcı yerine işlevsiz tarayıcıyı çağırarak saldırgan tarafından kontrol edilen bir URL&#8217;yi açmak için IE&#8217;yi nasıl kullanabileceğini ayrıntılı olarak açıkladı. Vektör, kullanıcılar için güvenli görünen PDF belgelerinde tehlikeli HTML uygulama (HTA) dosyalarını gizledi.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Trend Micro&#8217;nun raporu, Void Banshee&#8217;nin bunu, MHTML protokol işleyicisini ve x-usc! yönergesini içeren URL dosyalarını dağıtarak nasıl yaptığını açıklıyor; bu, grubun devre dışı bırakılmış IE işlemi aracılığıyla HTA dosyalarına erişmesine ve bunları çalıştırmasına izin veriyor. Bir kurban zararsız bir PDF gibi görünen bir şeyi açtığında, bunun yerine URL hedefini iexplore.exe işlemi aracılığıyla yerel IE&#8217;de açıyor.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Araştırmacılar, &#8220;CVE-2024-38112&#8217;yi kullanan İnternet kısayolu dosyası, bir HTML dosyasının enfeksiyon zincirinin HTA aşamasını indirdiği saldırgan tarafından kontrol edilen bir etki alanına işaret ediyor,&#8221; diye açıkladı. &#8220;Bu HTML dosyasını kullanarak, saldırgan ayrıca web sitesinin pencere görünüm boyutunu IE aracılığıyla kontrol edebilir. Bu, tehdit aktörü tarafından tarayıcı bilgilerini gizlemek ve enfeksiyon zincirinin bir sonraki aşamasının kurbandan indirilmesini maskelemek için kullanılır.&#8221;</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Bahsedildiği gibi, saldırı nihayetinde açık kaynaklı hırsızlar NecroStealer ve PredatorTheStealer&#8217;dan oluşturulan Atlantida hırsızını ele geçiriyor. Telegram, Steam, FileZilla, çeşitli kripto para cüzdanları ve Web tarayıcıları dahil olmak üzere çeşitli uygulamalardan hassas bilgileri hedefliyor. Daha sonra kötü amaçlı yazılım çalınan verileri bir zip dosyasına sıkıştırıyor ve TCP portu 6655 üzerinden saldırgan tarafından kontrol edilen bir komuta ve kontrol (C2) sitesine geri gönderiyor.</span></p>
<h2 class="ContentText ContentText_variant_h2 ContentText_align_left" data-testid="content-text" id="&quot;Zombie Relics&quot; Like IE Remain Dangerous" style="scroll-margin-top:10rem;scroll-snap-margin-top:10rem">IE Gibi &#8220;Zombi Kalıntıları&#8221; Tehlikeli Olmaya Devam Ediyor</h2>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Trend Micro&#8217;ya göre, CVE-2024-38112&#8217;ye yönelik saldırılar genel olarak, IE gibi artık desteklenmeyen veya bir kuruluşta aktif olarak kullanılmayan bir teknolojinin bile hâlâ büyük bir tehdit oluşturabileceğini gösteriyor.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">&#8220;Kullanıcılar artık IE&#8217;ye erişemese bile, tehdit aktörleri hala bu erişimi istismar edebilir </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Kalan Windows kalıntıları</span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">  Araştırmacılar, &#8220;Kullanıcıları ve kuruluşları fidye yazılımları, arka kapılar veya diğer kötü amaçlı yazılım türlerini çalıştırmak için bir proxy olarak makinelerinde IE benzeri bir tarayıcı kullanıyorlar&#8221; diye yazdı.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Ayrıca, tehdit aktörlerinin, Microsoft Edge için IE modu gibi modern Web deneme ortamlarını atlatmak için desteklenmeyen ve devre dışı bırakılmış sistem hizmetlerine erişme yeteneğinin &#8220;sektörde önemli bir endişe&#8221; yarattığını yazdılar.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Kusuru yamamak, mevcut sömürüyü engellemenin en belirgin yoludur. </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">IE sorunu</span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Araştırmacılar, Trend Micro&#8217;nun ayrıca MITRE ATT&#038;CK tekniklerinin bir listesini de eklediğini belirtti. </span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text"><a rel="nofollow noopener" class="ContentText-BodyTextChunk ContentText-BodyTextChunk_link" target="_blank" href="https://www.trendmicro.com/content/dam/trendmicro/global/en/research/24/g/cve-2024-38112-void-banshee-targets-windows-users-through-zombie-internet-explorer-in-zero-day-attacks/IOCs-CVE-2024-38112.txt">uzlaşma göstergelerine (IoC&#8217;ler) bir bağlantı</a></span><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">  yazısında.</span></p>
<p class="ContentParagraph ContentParagraph_align_left" data-testid="content-paragraph"><span class="ContentText ContentText_variant_bodyNormal" data-testid="content-text">Trend Micro&#8217;ya göre, kuruluşlar proaktif bir yaklaşım benimsemeli ve gelişmiş tehdit istihbaratı kullanmanın yanı sıra, potansiyel kusurlar ve potansiyel olarak istismar edilebilecek diğer saldırı yüzeyleri için tarama yazılımlarını ve diğer kurumsal ağ varlıklarını sürekli izleyen bir güvenlik duruşu benimsemelidir.</span></p>
</div>
<p><br />
<br /><a href="https://teknomers.com">siber-1</a></p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>APT&#8217;ler Zimbra Zero-Day&#8217;i Dünya Çapında Hükümet Bilgilerini Çalmak İçin Topluyor</title>
		<link>https://teknomers.com/aptler-zimbra-zero-dayi-dunya-capinda-hukumet-bilgilerini-calmak-icin-topluyor/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Mon, 20 Nov 2023 06:20:41 +0000</pubDate>
				<category><![CDATA[Genel]]></category>
		<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[APTler]]></category>
		<category><![CDATA[Bilgilerini]]></category>
		<category><![CDATA[Çalmak]]></category>
		<category><![CDATA[çapında]]></category>
		<category><![CDATA[Dünya]]></category>
		<category><![CDATA[Hükümet]]></category>
		<category><![CDATA[için]]></category>
		<category><![CDATA[topluyor]]></category>
		<category><![CDATA[ZeroDayi]]></category>
		<category><![CDATA[Zimbra]]></category>
		<guid isPermaLink="false">https://teknomers.com/2023/11/20/aptler-zimbra-zero-dayi-dunya-capinda-hukumet-bilgilerini-calmak-icin-topluyor/</guid>

					<description><![CDATA[En az dört ayrı siber saldırı grubu, dünya çapındaki devlet kuruluşlarından e-posta verilerini, kullanıcı kimlik bilgilerini ve kimlik doğrulama belirteçlerini çalmak için Zimbra Collaboration Suite&#8217;teki (ZCS) eski bir sıfır gün güvenlik açığını kullandı. Zimbra web sitesine göre ZCS, &#8220;binlerce&#8221; şirket ve &#8220;yüz milyonlarca&#8221; kişi tarafından kullanılan bir e-posta sunucusu, takvim ve sohbet ve video platformudur. [&#8230;]]]></description>
										<content:encoded><![CDATA[<p> <br />
<br /><img decoding="async" src="https://teknomers.com/wp-content/uploads/2023/10/Jacana-Operasyonu-DinodasRAT-Ozel-Arka-Kapisini-Ortaya-Cikariyor.jpg" /></p>
<div>
<p>En az dört ayrı siber saldırı grubu, dünya çapındaki devlet kuruluşlarından e-posta verilerini, kullanıcı kimlik bilgilerini ve kimlik doğrulama belirteçlerini çalmak için Zimbra Collaboration Suite&#8217;teki (ZCS) eski bir sıfır gün güvenlik açığını kullandı.</p>
<p>Zimbra web sitesine göre ZCS, &#8220;binlerce&#8221; şirket ve &#8220;yüz milyonlarca&#8221; kişi tarafından kullanılan bir e-posta sunucusu, takvim ve sohbet ve video platformudur.  Müşteri kuruluşları, Japonya İleri Bilim ve Teknoloji Enstitüsü, Almanya&#8217;nın Max Planck Enstitüsü ve Güneydoğu Asya&#8217;nın önde gelen iş kuluçka merkezi Gunung Sewu kadar çeşitlidir.</p>
<p>Hata (CVE-2023-37580), Zimbra e-posta sunucusunda 25 Temmuz&#8217;da yamalanan ve 5 Temmuz&#8217;da genel GitHub deposuna yayılan bir düzeltmeyle yansıtılan bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır. <a rel="nofollow noopener" href="https://blog.google/threat-analysis-group/zimbra-0-day-used-to-target-international-government-organizations/" target="_blank">Google&#8217;ın Tehdit Analiz Grubu&#8217;nun (TAG) raporu</a> Dark Reading ile paylaşılan sıfır gün istismarı, Zimbra&#8217;nın iyileştirme teklifinden önce Haziran ayında başladı.</p>
<h2 class="regular-text">Dünya Hükümetlerine Dört Ayrı Siber Saldırı</h2>
<p>Google TAG, hükümet kampanyalarıyla ilgili aşağıdakileri içeren ayrıntıları açıkladı:</p>
<ul>
<li>29 Haziran: Bilinmeyen saldırganlar Yunanistan&#8217;ı hedef alıyor.</li>
<li>11 Temmuz: Winter Vivern APT kampanyası Moldova ve Tunus&#8217;u hedef alıyor.</li>
<li>20 Temmuz: Bilinmeyen saldırganlar Vietnam&#8217;ı hedef alıyor.</li>
<li>25 Ağustos: Bilinmeyen saldırganlar Pakistan&#8217;ı hedef alıyor.</li>
</ul>
<p>Google TAG araştırmacılarına göre &#8220;Sıfır gün güvenlik açığının ilk doğal keşfi, Yunanistan&#8217;daki bir hükümet kuruluşunu hedef alan bir kampanyaydı.&#8221;  &#8220;Saldırganlar hedeflerine istismar URL&#8217;leri içeren e-postalar gönderdiler.&#8221;</p>
<p>Bir hedef, Zimbra oturumunun açık olduğu bir oturum sırasında bağlantıya tıkladıysa, URL, kullanıcıların e-postalarını ve eklerini çalan bir çerçeve yükledi;  ve saldırgan tarafından kontrol edilen bir e-posta adresine otomatik yönlendirme kuralı oluşturdu.</p>
<p>Bu arada Winter Vivern kampanyası 11 Temmuz&#8217;da başladıktan sonra iki hafta boyunca devam etti.</p>
<p>TAG analizine göre &#8220;TAG, Moldova ve Tunus&#8217;taki devlet kuruluşlarını hedef alan birden fazla istismar URL&#8217;si belirledi; her bir URL, bu hükümetlerdeki belirli kuruluşlar için benzersiz bir resmi e-posta adresi içeriyordu.&#8221;</p>
<p>Kimliği belirsiz bir grup tarafından gerçekleştirilen üçüncü sıfır gün kampanyası, Vietnam&#8217;daki bir hükümet kuruluşuna yönelik kimlik avı saldırısının parçasıydı.</p>
<p>Google araştırmacıları, &#8220;Bu durumda, istismar URL&#8217;si, kullanıcıların web posta kimlik bilgileri için bir kimlik avı sayfası görüntüleyen ve çalınan kimlik bilgilerini, saldırganların büyük olasılıkla ele geçirdiği resmi bir hükümet etki alanında barındırılan bir URL&#8217;ye gönderen bir komut dosyasına işaret ediyordu.&#8221; dedi.</p>
<p>Dördüncü kampanyada, Pakistan&#8217;daki bir hükümet kuruluşundan Zimbra kimlik doğrulama tokenlarını çalmak için N günlük bir istismar kullanıldı.</p>
<p>Bildiri, &#8220;CVE-2023-37580&#8217;den yararlanan en az dört kampanyanın keşfedilmesi… kuruluşların posta sunucularına mümkün olan en kısa sürede düzeltmeler uygulamasının önemini göstermektedir.&#8221; şeklinde sonuçlandı.  &#8220;Bu kampanyalar aynı zamanda saldırganların, düzeltmenin depoda olduğu ancak henüz kullanıcılara yayınlanmadığı güvenlik açıklarından fırsatçı bir şekilde yararlanmak için açık kaynak depolarını nasıl izlediğini de vurguluyor.&#8221;</p>
<h2 class="regular-text">Siber Saldırganlar Sık Kullanılan Posta Sunucularını Hedefliyor</h2>
<p>Posta sunucularındaki güvenlik açıklarından sürekli olarak yararlanılıyor, bu nedenle kuruluşların bu güvenlik açıklarına yama uygulamasına öncelik vermesi gerekiyor.</p>
<p>Yalnızca Zimbra, Ekim 2022&#8217;de sıfır gün olarak istismar edilen bir uzaktan kod yürütme hatası ve Kuzey Kore ulusunun yamalı sunucuları yağmalayan bir bilgi çalma kampanyası da dahil olmak üzere güvenlik olaylarıyla boğuşuyor.  Ocak ayında CISA, tehdit aktörlerini uyardı <a rel="nofollow noopener" href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-228a" target="_blank">ZCS&#8217;ye karşı birden fazla CVE&#8217;den yararlanılıyordu</a>.</p>
<p>Bu arada, geçen ay Winter Vivern, Roundcube Webmail sunucularındaki sıfır gün kusurundan yararlanarak, Avrupa&#8217;daki hükümet kuruluşlarını ve bir düşünce kuruluşunu hedef alan, yalnızca kullanıcının bir mesajı görüntülemesini gerektiren kötü niyetli bir e-posta kampanyası yürütüyordu.</p>
<p>TAG&#8217;a göre: &#8220;Posta sunucularındaki XSS güvenlik açıklarından düzenli olarak yararlanılması, özellikle XSS güvenlik açıkları açısından bu uygulamaların daha fazla kod denetimine ihtiyaç duyulduğunu da gösteriyor.&#8221;</p>
</div>
<p><br />
<br /><a href="https://teknomers.com">siber-1</a></p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Çinli Hacking Grubu Barracuda Zero-Day&#8217;i Kullanarak Hükümet, Ordu ve Telekom&#8217;u Hedef Aldı</title>
		<link>https://teknomers.com/cinli-hacking-grubu-barracuda-zero-dayi-kullanarak-hukumet-ordu-ve-telekomu-hedef-aldi/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Tue, 29 Aug 2023 17:15:41 +0000</pubDate>
				<category><![CDATA[Genel]]></category>
		<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[ağ güvenliği]]></category>
		<category><![CDATA[aldı]]></category>
		<category><![CDATA[Barracuda]]></category>
		<category><![CDATA[bilgi Güvenliği]]></category>
		<category><![CDATA[bilgisayar Güvenliği]]></category>
		<category><![CDATA[Çinli]]></category>
		<category><![CDATA[fidye yazılımı kötü amaçlı yazılım]]></category>
		<category><![CDATA[Grubu]]></category>
		<category><![CDATA[hack haberleri]]></category>
		<category><![CDATA[hacker haberleri]]></category>
		<category><![CDATA[Hacking]]></category>
		<category><![CDATA[hedef]]></category>
		<category><![CDATA[Hükümet]]></category>
		<category><![CDATA[Kullanarak]]></category>
		<category><![CDATA[Nasıl heklenir]]></category>
		<category><![CDATA[Ordu]]></category>
		<category><![CDATA[siber güncellemeler]]></category>
		<category><![CDATA[siber güvenlik güncellemeleri]]></category>
		<category><![CDATA[siber güvenlik haberleri]]></category>
		<category><![CDATA[Siber güvenlik haberleri bugün]]></category>
		<category><![CDATA[Siber Haberler]]></category>
		<category><![CDATA[siber saldırılar]]></category>
		<category><![CDATA[Telekomu]]></category>
		<category><![CDATA[veri ihlali]]></category>
		<category><![CDATA[yazılım güvenlik açığı]]></category>
		<category><![CDATA[ZeroDayi]]></category>
		<guid isPermaLink="false">https://teknomers.com/2023/08/29/cinli-hacking-grubu-barracuda-zero-dayi-kullanarak-hukumet-ordu-ve-telekomu-hedef-aldi/</guid>

					<description><![CDATA[Çin bağlantılı olduğundan şüphelenilen bir bilgisayar korsanlığı grubu, küresel bir casusluk kampanyasının parçası olarak hükümet, ordu, savunma ve havacılık, yüksek teknoloji endüstrisi ve telekom sektörlerini ihlal etmek için Barracuda Networks Email Security Gateway (ESG) cihazlarında yakın zamanda açıklanan sıfır gün kusurundan yararlandı . Mandiant adı altında etkinliği takip eden UNC4841tehdit aktörünün &#8220;savunma çabalarına son derece [&#8230;]]]></description>
										<content:encoded><![CDATA[<p> <br />
</p>
<div id="articlebody">
<div class="separator" style="clear: both;"></div>
<p>Çin bağlantılı olduğundan şüphelenilen bir bilgisayar korsanlığı grubu, küresel bir casusluk kampanyasının parçası olarak hükümet, ordu, savunma ve havacılık, yüksek teknoloji endüstrisi ve telekom sektörlerini ihlal etmek için Barracuda Networks Email Security Gateway (ESG) cihazlarında yakın zamanda açıklanan sıfır gün kusurundan yararlandı .</p>
<p>Mandiant adı altında etkinliği takip eden <strong>UNC4841</strong>tehdit aktörünün &#8220;savunma çabalarına son derece duyarlı&#8221; olduğunu ve hedeflere kalıcı erişimi sürdürmek için işleyiş tarzını aktif olarak değiştirebilme yeteneğine sahip olduğunu belirtti.</p>
<p>Google&#8217;ın sahibi olduğu tehdit istihbarat firması, &#8220;UNC4841, ya yama yayınlanmadan önce ya da Barracuda&#8217;nın iyileştirme rehberliğinden kısa bir süre sonra tehlikeye attığı yüksek öncelikli hedeflerin küçük bir alt kümesinde varlığını sürdürmek için tasarlanmış yeni ve yeni kötü amaçlı yazılımlar kullandı.&#8221; <a rel="nofollow noopener" href="https://www.mandiant.com/resources/blog/unc4841-post-barracuda-zero-day-remediation" target="_blank">söz konusu</a> bugün yayınlanan yeni bir teknik raporda.</p>
<p>Etkilenen kuruluşların neredeyse üçte biri devlet kurumlarıdır.  İlginçtir ki, ilk ihlallerden bazılarının coğrafi olarak Çin ana karasına konumlandırılmış az sayıda cihazda gerçekleşmiş olduğu görülüyor.</p>
<p>Saldırılar, kötü amaçlı yazılım dağıtmak ve kullanım sonrası faaliyetleri yürütmek için CVE-2023-2868&#8217;in kullanılmasını gerektiriyor.  Bazı durumlarda izinsiz girişler, iyileştirme çabalarına yanıt olarak kalıcılığı korumak için SUBMARINE (aka DEPTHCHARGE) gibi ek kötü amaçlı yazılımların konuşlandırılmasına yol açmıştır.</p>
<p>Kampanyanın daha ayrıntılı analizi, Çin Yeni Yılı&#8217;nın başlangıcına denk gelen &#8220;yaklaşık 20 Ocak&#8217;tan 22 Ocak 2023&#8217;e kadar faaliyetlerde belirgin bir düşüş&#8221; olduğunu ve ardından biri Barracuda&#8217;nın 23 Mayıs 2023&#8217;teki kamuya duyurusunun ardından iki dalgalanmanın geldiğini ortaya çıkardı. ve ikincisi Haziran 2023&#8217;ün başlarında.</p>
<section class="check_two clear badbox"></section>
<p>İkincisinin, saldırganın &#8220;SKIPJACK, DEPTHCHARGE ve FOXTROT / FOXGLOVE yeni kötü amaçlı yazılım ailelerinin konuşlandırılması yoluyla tehlikeye atılmış ortamlara erişimi sürdürmeye çalışmasını&#8221; kapsadığı söyleniyor.</p>
<p>SKIPJACK, içeriklerinin kodunu çözüp çalıştırmadan önce belirli gelen e-posta başlıkları ve konuları için bir dinleyiciyi kaydeden pasif bir implant olsa da, DEPTHCHARGE, LD_PRELOAD ortam değişkenini kullanarak Barracuda SMTP (BSMTP) arka plan programına önceden yüklenir ve yürütülmek üzere şifrelenmiş komutları alır.</p>
<div class="separator" style="clear: both;"><img decoding="async" src="https://teknomers.com/wp-content/uploads/2023/08/1693329341_124_Cinli-Hacking-Grubu-Barracuda-Zero-Dayi-Kullanarak-Hukumet-Ordu-ve-Telekomu.jpg" alt="Barracuda Sıfır Gün" border="0" data-original-height="561" data-original-width="728" title="Barracuda Sıfır Gün"></div>
<p>DEPTHCHARGE&#8217;ın ilk kullanımı 30 Mayıs 2023&#8217;e, yani Barracuda&#8217;nın kusuru kamuya açıklamasından sadece birkaç gün sonrasına kadar uzanıyor.  Mandiant, kötü amaçlı yazılımın belirli bir hedef alt kümesine hızla yayıldığını gözlemlediğini, bunun da yüksek düzeyde hazırlık yapıldığını ve yüksek değerli ortamlarda kalıcı olma girişimini gösterdiğini söyledi.</p>
<p>Şirket, &#8220;Ayrıca, bu operasyonun küresel kapsamına rağmen fırsatçı olmadığını ve UNC4841&#8217;in, hedef ağlara erişimlerini potansiyel olarak kesintiye uğratabilecek beklenmedik durumları tahmin etmek ve bunlara hazırlanmak için yeterli planlama ve finansmana sahip olduğunu da öne sürüyor&#8221; diye açıkladı.</p>
<p>Güvenliği ihlal edilen toplam cihazların yaklaşık yüzde 2,64&#8217;ünün DEPTHCHARGE ile enfekte olduğu tahmin ediliyor.  Bu mağduriyet, ABD ve yabancı devlet kurumlarının yanı sıra yüksek teknoloji ve bilgi teknolojisi sağlayıcılarını da kapsamaktadır.</p>
<p>Yine seçici olarak hedeflere iletilen üçüncü kötü amaçlı yazılım türü, FOXGLOVE adlı C tabanlı bir program kullanılarak başlatılan bir C++ implantı olan FOXTROT&#8217;tur.  TCP aracılığıyla iletişim kurarak tuş vuruşlarını yakalama, kabuk komutlarını çalıştırma, dosyaları aktarma ve ters kabuk ayarlama özellikleriyle birlikte gelir.</p>
<p>Dahası, FOXTROT paylaşımları, son aylarda çok sayıda Çinli hack ekibi tarafından yaygın olarak kullanılan Reptile adlı açık kaynaklı bir rootkit ile örtüşüyor.  Bu aynı zamanda Fortinet FortiOS işletim sistemindeki yamalı orta önemdeki bir güvenlik açığının sıfır gün istismarıyla bağlantılı bir tehdit aktörü olan UNC3886&#8217;yı da içeriyor.</p>
<div class="separator" style="clear: both;"><img decoding="async" src="https://teknomers.com/wp-content/uploads/2023/08/1693329341_514_Cinli-Hacking-Grubu-Barracuda-Zero-Dayi-Kullanarak-Hukumet-Ordu-ve-Telekomu.jpg" alt="Barracuda Sıfır Gün" border="0" data-original-height="385" data-original-width="728" title="Barracuda Sıfır Gün"></div>
<p>Mandiant, &#8220;FOXTROT ve FOXGLOVE, UNC4841 tarafından kullanıldığı gözlemlenen ve Barracuda ESG&#8217;leri için özel olarak tasarlanmamış tek kötü amaçlı yazılım aileleri olmaları açısından da dikkat çekicidir&#8221; dedi.  &#8220;İşlevsellik açısından FOXTROT&#8217;un, yanal hareketi ve kimlik bilgileri hırsızlığını mümkün kılmak için bir ağ içindeki diğer Linux tabanlı cihazlara da dağıtılması planlanmıştı.&#8221;</p>
<p>FOXGLOVE ve FOXTROT&#8217;u öne çıkaran bir diğer husus, UNC4841 tarafından kullanılan tüm kötü amaçlı yazılım aileleri arasında en seçici şekilde konuşlandırılmış olmaları ve bunu yalnızca hükümet veya hükümetle ilgili kuruluşları hedeflemek için kullanmalarıdır.</p>
<p>Düşman grubunun, sınırlı sayıda kurban ortamında iç keşif ve ardından yanal hareket eylemleri gerçekleştirdiği de tespit edildi.  Kuruluşlardaki kullanıcıların posta kutularında oturum açmak için Microsoft Outlook Web Access&#8217;in (OWA) kullanılması birden fazla vakayı gerektirdi.</p>
<section class="check_two clear badbox"></section>
<p>Gelişmiş kalıcı tehdit (APT) aktörü, uzaktan erişimin alternatif bir biçimi olarak, daha önce etkilenen cihazların yaklaşık yüzde beşinde, etc/passwd dosyasında rastgele oluşturulmuş dört karakter içeren hesaplar oluşturdu.</p>
<p>UNC4841&#8217;in Çin bağlantıları, <a rel="nofollow noopener" href="https://www.mandiant.com/resources/blog/chinese-espionage-tactics" target="_blank">altyapı ortak noktaları</a> grup ile UNC2286 kod adlı başka bir kategorize edilmemiş küme arasında, bu da FamousSparrow ve GhostEmperor olarak takip edilen diğer Çin casusluk kampanyalarıyla örtüşüyor.</p>
<p>En son açıklama, ABD Federal Soruşturma Bürosu&#8217;nun (FBI) devam eden risk nedeniyle etkilenen müşterileri ESG cihazlarını derhal değiştirmeye çağırdığı bir dönemde geldi.</p>
<p>Şirket, &#8220;UNC4841, küresel casusluk operasyonlarını mümkün kılmak için çok çeşitli kötü amaçlı yazılımlardan ve amaca yönelik tasarlanmış araçlardan yararlanan, iyi kaynaklara sahip bir aktördür&#8221; diyerek, tehdit aktörünün belirli kurban ortamlarına seçici olarak daha fazla yük dağıtma becerisine dikkat çekti.</p>
<p>&#8220;Paylaşılan altyapı ve anonimleştirme teknikleri, paylaşılan araçlar ve muhtemelen kötü amaçlı yazılım geliştirme kaynakları gibi, Çinli siber casusluk aktörleri arasında yaygındır. Sıfır gün güvenlik açıklarına sahip uç altyapıyı hedef alan Çin siber casusluk operasyonlarını ve bunların konuşlandırılmasını gözlemlemeye devam etmemiz muhtemeldir. belirli cihaz ekosistemlerine göre özelleştirilmiş kötü amaçlı yazılım.&#8221;</p>
<p></p>
</div>
<p><br />
<br /><a href="https://teknomers.com">siber-2</a></p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://teknomers.com/wp-content/uploads/2023/08/Cinli-Hacking-Grubu-Barracuda-Zero-Dayi-Kullanarak-Hukumet-Ordu-ve-Telekomu.jpg" />	</item>
	</channel>
</rss>
