İsrail merkezli Hackerlar 

İş Dünyasında

Oldukça Başarılı Mesaj Saldırıları Yaptılar

E-posta güvenlik firması Abnormal Security'nin bir raporuna göre, İsrail merkezli bir tehdit grubu son zamanlarda sofistike e-posta saldırılarına karışmıştır. Bu olağandışı bir durumdur, çünkü Abnormal Security tarafından incelenen saldırıların çoğunluğu geçen yıl Nijerya'dan kaynaklanmaktadır. Rapor, İsrailli tehdit aktörlerinin gelişen sofistike yöntemlerini vurgulamakta ve saldırılarını gerçekleştirmek için ileri teknikler geliştirdiklerini göstermektedir.

İsrail saldırganları, iş e-postası hilesi (BEC) saldırılarını gerçekleştirmek için sofistike sahteleme tekniklerinden yararlanmaktadır. Rapor, Şubat 2021'den bu yana yaklaşık 350 BEC saldırısını takip etmiş ve hepsini bu belirli gruba atfetmiştir. İsrailli saldırganların kullandığı yöntemler arasında, finansal işlemlerden sorumlu üst düzey yöneticileri taklit etmek, hedef şirketin içinden ve dışından kişilikler kullanmak ve hatta e-postaları hedef organizasyonun yaygın olarak kullandığı dile çevirmek yer almaktadır.

Saldırganların kullandığı dikkate değer bir taktik, sahte e-postaları sahtelenmiş yöneticilerden göndermektir, böylece e-postanın CEO veya organizasyon içindeki diğer üst düzey bir kişiden geldiği gibi görünür. Bu, hedef organizasyonun genellikle e-posta sahteciliğini önleyen bir DMARC politikası olduğunda, gönderme adını CEO'nun adını taklit etmek suretiyle yapılır. Saldırganlar, alıcıları daha da aldatmak için gerçek alan adlarını da kullanmaktadır.

Saldırılar, iç ve dış mesaj vektörlerini içeren belirli bir çerçeveyi takip etmektedir. İç vektörler genellikle hedeflenen organizasyondaki üst düzey yöneticileri taklit ederken, dış vektörler, genellikle KPMG gibi saygın firmalardan olan birleşme ve satın alma konularında uzmanlaşmış gerçek avukatları içermektedir. İlk temas kurulduktan sonra saldırganlar, yaklaşan bir satın alma ile ilgili olarak başlangıç ödemesi talep etmektedir. Bazı durumlarda, saldırganlar hatta saldırıyı hızlandırmak ve delil izlerini azaltmak için iletişimi en aza indrimek için sesli görüşmeler üzerinden de devam ettikleri gözlemlendi.

Rapor, bu saldırılara ilişkin birkaç önemli bulguyu vurgulamaktadır. Hedef alınan organizasyonlar, önemli ortalama yıllık gelire sahip çok uluslu şirketlerdir ve 6 kıtada yer alan 61 ülkeden çalışanlar bu sahte e-postaları almıştır. Bir saldırıda talep edilen ortalama miktar 712.000 dolar olup, bu, tipik bir BEC saldırısının önemli ölçüde üzerindedir. Saldırganlar e-postalarında genellikle İngilizce kullanmaktadır, ancak İspanyolca, Fransızca, İtalyanca ve Japonca gibi dillerde de çeviriler sunmaktadır. Ayrıca, saldırıların yaklaşık %80'inin Mart, Haziran-Temmuz ve Ekim-Aralık aylarında gerçekleştiğini belirtmek de önemlidir.

Saldırganların İsrail'de bulunmasına rağmen, motivasyonları devlet dışı aktörlerle uyumlu olup, başlıca finansal kazanç odaklıdır. Rapor, İsrail'in siber güvenlik yenilikleri konusundaki tarihsel ününü kabul eder ve ülkenin sınırları içinde tehdit aktörlerinin ortaya çıkmasıyla arasındaki çelişkiyi vurgular.

Bu BEC saldırılarının artan ciddiyeti ve talep edilen yüksek miktarlar, güçlü e-posta güvenlik önlemlerine olan ihtiyacı ortaya koymaktadır. Abnormal Security, BEC saldırılarını tespit etmek için insanları eğitmeyi ve davranışsal yapay zeka kullanarak anormallikleri tespit eden otomatik savunma sistemlerini kombinasyon halinde kullanmayı önermektedir. E-postanın hala kazançlı bir saldırı vektörü olması nedeniyle, tehdit aktörlerinin taktiklerini geliştirmeleri, yeni yaklaşımlar denemeleri ve e-posta kullanıcılarını etkilemeye yönelik girişimlerinde daha hedefli ve sofistike hale gelmeleri beklenmektedir. Kuruluşların Slack, Zoom ve Microsoft Teams gibi iletişim platformlarını benimserken, güvenlik etkilerini dikkate almak ve riskleri azaltmak için uygun savunma mekanizmalarının yerinde olduğundan emin olmak önemlidir.

 

 PaperCut Fidye Yazılımı Saldırısı  

 

Daha önceden ve 2020nin başlarında uyarıldığı 2020 günümüzde hacker'lar, yaygın olarak güncellenmemiş veya eski sürümlü yazıcı sürücü dosyalarını kullanarak zafiyetlerinden faydalanarak altyapılarına sızmayı ve şirketlerden veya kullanıcılardan bilgi çalmayı artan bir şekilde kullanmaktadır.

Hacker'lar, özellikle eski veya güncellenmemiş sürücü dosyalarının zafiyetlerinden faydalanarak bilgi çalmak için bu tür saldırıları gerçekleştirebilirler. Yazıcılar genellikle ağlara ve bilgisayarlara bağlanır ve sürücüler, yazıcı ile işletim sistemi arasında yazılım arabirimleri olarak görev yapar. Eğer bu sürücülerin bilinen zafiyetleri varsa, hacker'lar bunları kullanarak izinsiz erişim elde edebilirler.

Bu tür saldırıların riskini azaltmak için, yazıcı sürücülerini düzenli olarak üreticinin güncellemelerini kontrol ederek güncel tutmak son derece önemlidir. Ayrıca, güçlü ağ güvenlik önlemleri, güvenlik duvarları ve sızma tespit sistemleri gibi uygulamalar izinsiz erişimi önlemeye ve hassas bilgileri korumaya yardımcı olabilir. Düzenli güvenlik denetimleri ve çalışanlara siber güvenlik için en iyi uygulamalar konusunda eğitim vermek de başarılı saldırıların olasılığını önemli ölçüde azaltabilir."

 

 

PaperCut zafiyeti, CVE-2023-27350 numaralı FBI raporlarında da anlatıldığı üzere, PaperCut MF ve PaperCut NG yazılımlarını etkileyerek saldırganlara kimlik doğrulamasını atlamalarına ve SYSTEM yetkileriyle keyfi kod yürütmelerine olanak tanır. Zafiyet, PaperCut tarafından Mart 2023'te duyurulmuş olup, yamasız sunucular aktif olarak sömürülmektedir. Başka bir zafiyet olan CVE-2023-27351, yetkisiz saldırganlara kullanıcı bilgilerine erişme imkanı sağlar. Aşağıda gösterilen şekilde bir fidye mesajı yazdırılırken kullanıcıdan fidye alınmaya çalışılıyor.

 

Bu zafiyetten yararlanan fidye yazılımı grupları ve devlet destekli siber casusluk tehdit aktörleri aktif olarak saldırılar düzenlemektedir. Bl00dy fidye yazılımı grubu, eğitim kurumlarını hedef alarak veri çalmak ve sistemleri şifrelemektedir. Microsoft, Lace Tempest grubunun bu zafiyeti kullanarak Clop fidye yazılımı dağıttığı saldırıları rapor etmiştir. İran devlet destekli tehdit aktörleri olan Mint Sandstorm ve Mango Sandstorm da operasyonlarında bu açığı kullanmaktadır.

Bu siber güvenlik tehdidini tespit etmek için, savunmasız bir PaperCut sunucusuna erişen ağ trafiğinin SetupCompleted sayfasının izlenmesi önerilmektedir. Belirli yapılandırma anahtarlarının veya yazdırma betiklerinin değiştirilmesi, bir ihlale işaret edebilir. DNS log dosyaları, son zamanlarda PaperCut saldırılarıyla ilişkilendirilen alan adları için aranmalıdır. PaperCut sunucusundan türetilen alt süreçlerin izlenmesi ve sunucu ayarlarının ve log dosyalarının analizi, ihlallerin tespitinde yardımcı olabilir.

Bu zafiyete karşı korunmak için, savunmasız PaperCut sunucularının yamalanması hayati önem taşır. Yamalama mümkün değilse, savunmasız sunucuların internet üzerinden erişilemez olduğundan emin olunmalıdır. Harici IP adreslerinden web yönetimi bağlantı noktalarına gelen giriş trafiği engellenmeli ve yalnızca doğrulanmış site sunucularına izin vermek için IP adresi kısıtlamaları uygulanmalıdır. Tüm sistemlerin ve yazılımların güncel ve yamalı olduğunu sağlamak da yaygın zafiyetlerden kaçınmak için önemlidir.

Microsoft Siber Sabotaj Gruplarının saldırılarını tweet ile haber verdi

PaperCut'ı 200'den fazla ülkede kullanan 70.000'den fazla kuruluş bulunmasıyla, diğer tehdit aktörleri bu zafiyeti sömürmeye ilgi duymuşlardır. CISA, ABD'de yayınlanan PaperCut sunucularının (%68'i, savunmasız ve savunmasız olmayan sunucuları içerir) Eğitim Tesisleri Alt Sektörüne ait olduğunu bildirmiştir. PaperCut'ın web sitesine göre, müşterileri arasında yerel yönetimler, hukuk, yaşam bilimleri, sağlık ve yükseköğretim de bulunmaktadır. Microsoft, 5 Mayıs 2023 tarihinde, iki İran devlet destekli siber casusluk tehdit aktörü olan Mint Sandstorm (aka Charming Kitten ve Phosphorus) ve Mango Sandstorm (aka Muddy Water, Static Kitten ve Mercury) 'un, genel halka açık kavram kanıtları yayınlandıktan sonra operasyonlarında hızla bu açığı kullandıklarını ve ilk erişimi elde ettiklerini tweetlerinde belirtmişlerdir.