Windows 11 Requirements

 

System requirements for 

Windows 11?

• Processor: 1 gigahertz (GHz) or faster with two or more cores on a compatible 64-bit processor or System on a Chip (SoC)
• RAM: 4 GB
• Storage: 64 GB or larger storage device
• System firmware: UEFI, Secure Boot capable
• Graphics card: Compatible with DirectX 12 or later with WDDM 2.0 driver
• Display: High-definition (720p) display that is greater than 9″ diagonally, 8 bits per color channel
• Internet connection: Windows 11 Home edition requires internet connectivity and a Microsoft account to complete device setup on first use. Switching a device out of Windows 11 Home in S mode requires internet connectivit

Yapay Zeka Ararken Dikkat

 AI Ararken RedLine Yüklemeyin

OpenAI ChatGPT ve Midjourney gibi generatif AI hizmetleri için kötü niyetli Google Arama reklamları, RedLine Stealer kötü amaçlı yazılımını dağıtmak amacıyla kullanılıyor.

eSentire analizine göre, "Her iki AI hizmeti de son derece popüler olmasına rağmen bağımsız uygulamalara sahip değillerdir (yani kullanıcılar ChatGPT'ye web arayüzü üzerinden erişirken Midjourney Discord'u kullanır)," dedi.

"Tehdit aktörleri, sahte uygulamaları tanıtan sahte web sayfalarını tanıtan AI uygulama arayıcılardan yararlanmışlardır."

BATLOADER, kullanıcıların arama motorlarında belirli anahtar kelimeler aradıklarında sahte reklamların görüntülendiği ve tıkladıklarında kötü amaçlı yazılım barındıran yanıltıcı indirme sayfalarına yönlendirildikleri drive-by indirmeleri aracılığıyla yayılan bir yükleyici kötü amaçlı yazılımdır.

 

eSentire'a göre, kurulum dosyası, ChatGPT.exe veya midjourney.exe adlı bir yürütülebilir dosya ve Chat.ps1 veya Chat-Ready.ps1 adlı bir PowerShell komut dosyası içerir ve uzaktaki bir sunucudan RedLine Stealer'ı indirir ve yükler.

 

Kurulum tamamlandığında, ikili dosya Microsoft Edge WebView2'yi kullanarak chat.openai[.]com veya www.midjourney[.]com - yasal ChatGPT ve Midjourney URL'leri - pop-up penceresinde yükleyerek herhangi bir şüphe uyandırmadan açar.

Düşmanın, kötücül reklamlar sunmak ve sonuçta RedLine Stealer kötü amaçlı yazılımını bırakmak için ChatGPT ve Midjourney temalı tuzağı kullandığı da geçen hafta Trend Micro tarafından vurgulandı. Yapay Zeka Araçları BATLOADER'ın arkasındaki operatörlerin kötü amaçlı yazılım dağıtmak için yapay zeka çılgınlığından yararlandığı ilk kez değil. Mart 2023'te, eSentire benzer bir dizi saldırıyı ayrıntılı bir şekilde açıkladı, bu saldırılar Vidar Stealer ve Ursnif'i dağıtmak için ChatGPT tuzağından yararlandı.

Cybersecurity şirketi ayrıca Google Arama reklamlarının kötüye kullanımının 2023 başlarındaki zirveden düştüğünü belirtti, bu da teknoloji devinin bu tür kötüye kullanımları sınırlamak için aktif önlemler aldığını gösteriyor.

Bu gelişme, tehdit aktörlerinin kötü amaçlı yazılım ve diğer sahte uygulamaları dağıtmak için bu yapay zeka araçlarının artan kullanımından yararlanmaya çalıştığı daha geniş bir dolandırıcılık ve sahtekarlık kampanyası dalgasıyla uyumlu.

Güvenlik sağlayıcısı Sophos, ilgili bir araştırmada, Google Play ve Apple App Store'da ChatGPT ile ilişkili bir dizi fleeceware uygulamasını - toplu olarak FleeceGPT olarak adlandırılan - kullanıcıları istenmeyen aboneliklere zorladı.

Sophos araştırmacıları Jagadeesh Chandraiah ve Sean Gallagher, "Fleeceware uygulamaları, Apple ve Google hizmet şartlarının sınırlarında kalmak üzere tasarlandığı ve özel bilgilere erişmediği veya platform güvenliğini aşmayı denemediği için nadiren gözden geçirmede reddedilir ve uygulama mağazalarına alınır," dedi.

Son haftalarda, Meta ve Palo Alto Networks Unit 42, kullanıcıların kredi kartı bilgilerini toplamak, kredi kartı dolandırıcılığı yapmak ve kurbanların Facebook hesap bilgilerini çalan taklit ChatGPT hizmetine benzeyen sahtekarlık faaliyetlerinde artış olduğu konusunda uyarıda bulundu.

 

Looking for AI

 

While you are Looking for AI Watch Out for RedLine Malware

Malicious Google Search ads for generative AI services like OpenAI ChatGPT and Midjourney are being used to direct users to sketchy websites as part of a BATLOADER campaign designed to deliver RedLine Stealer malware.

"Both AI services are extremely popular but lack first-party standalone apps (i.e., users interface with ChatGPT via their web interface while Midjourney uses Discord)," eSentire said in an analysis.

"This vacuum has been exploited by threat actors looking to drive AI app-seekers to imposter web pages promoting fake apps."

BATLOADER is a loader malware that's propagated via drive-by downloads where users searching for certain keywords on search engines are displayed bogus ads that, when clicked, redirect them to rogue landing pages hosting malware.

The installer file, per eSentire, is rigged with an executable file (ChatGPT.exe or midjourney.exe) and a PowerShell script (Chat.ps1 or Chat-Ready.ps1) that downloads and loads RedLine Stealer from a remote server.

Once the installation is complete, the binary makes use of Microsoft Edge WebView2 to load chat.openai[.]com or www.midjourney[.]com – the legitimate ChatGPT and Midjourney URLs – in a pop-up window so as to not raise any red flags.

The adversary's use of ChatGPT and Midjourney-themed lures to serve malicious ads and ultimately drop the RedLine Stealer malware was also highlighted last week by Trend Micro.

This is not the first time the operators behind BATLOADER have capitalized on the AI craze to distribute malware. In March 2023, eSentire detailed a similar set of attacks that leveraged ChatGPT lures to deploy Vidar Stealer and Ursnif.

The cybersecurity company further pointed out the abuse of Google Search ads has fallen off from their early 2023 peak, suggesting that the tech giant is taking active steps to curtail its exploitation.

The development aligns with a broader wave of phishing and scam campaigns, wherein threat actors are attempting to cash in on the surging use of these AI tools to distribute malware and other bogus apps.

Security vendor Sophos, in a related research, outlined a set of ChatGPT-related fleeceware apps in the Google Play and Apple App Store — collectively dubbed FleeceGPT – that coerce users into signing up for unwanted subscriptions.

"Because fleeceware applications are designed to stay on the edge of Apple and Google terms of service and do not access private information or attempt to circumvent platform security, they are rarely rejected during review and are allowed into the app stores," Sophos researchers Jagadeesh Chandraiah and Sean Gallagher said.

In recent weeks, both Meta and Palo Alto Networks Unit 42 have warned of increasing fraudulent activity mimicking the ChatGPT service to harvest users' credit card details, perpetrate credit card fraud, and copycat chatbot browser extensions that steal victims' Facebook account details.

Between November 2022 through early April 2023, Unit 42 said it detected a 910% increase in monthly registrations for domains related to ChatGPT.

The findings come weeks after Securonix uncovered a phishing campaign dubbed OCX#HARVESTER that targeted the cryptocurrency sector between December 2022 and March 2023 with More_eggs (aka Golden Chickens), a JavaScript downloader that's used to serve additional payloads.

Samsung Samsung Cihazlar Saldıra Açık! - Samsung Devices Under Attack!

 

Samsung Cihazlar Saldıra Açık!

Samsung cihazlarına yönelik bir güvenlik açığı tespit edildiğine dair uyarılar yapıldı. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Android 11, 12 ve 13 sürümlerini çalıştıran belirli Samsung cihazlarını etkileyen orta düzey bir açığın aktif olarak istismar edildiğini bildirdi.

CVE-2023-21492 olarak izlenen bu sorun, bir ayrıcalıklı saldırganın adres alanı düzeni rastgeleleştirmeyi (ASLR) atlatmak için kullanabileceği bilgi açığını içermektedir. ASLR, bir cihazın belleğindeki bir uygulamanın konumunu gizleyerek bellek bozulması ve kod yürütme hatalarını engellemek için tasarlanmış bir güvenlik tekniktir.

Samsung, bu ay yayımladığı bir bildirimde, bu sorun için bir saldırının gerçekleştiğinin kendilerine bildirildiğini belirtti ve 17 Ocak 2023 tarihinde şirkete özel olarak bildirildiğini açıkladı. Açığın nasıl istismar edildiği hakkında diğer ayrıntılar şu anda bilinmemektedir, ancak Samsung telefonlardaki güvenlik açıkları daha önce ticari casus yazılımlar tarafından kötü niyetli yazılımların dağıtımı için kullanılmıştır.

Aktif istismarın göz önüne alınmasıyla, CISA, Cisco IOS'daki iki açıkla birlikte (CVE-2004-1464 ve CVE-2016-6415) bu eksikliği Bilinen İstismar Edilen Zayıflıklar (KEV) kataloğuna ekledi ve Federal Sivil Yürütme Şubesi (FCEB) kurumlarını 9 Haziran 2023'e kadar yamaları uygulamaya çağırdı.

Geçtiğimiz hafta CISA, KEV kataloğuna yedi güvenlik açığı daha eklemiş olup bunlardan en eski olanı 13 yıl öncesine dayanan bir Linux açığıdır (CVE-2010-3904) ve bu açıkla bir yetkisiz yerel saldırgan kök ayrıcalıklarını elde edebilir.

 

İsrail merkezli Hackerlar 

İş Dünyasında

Oldukça Başarılı Mesaj Saldırıları Yaptılar

E-posta güvenlik firması Abnormal Security'nin bir raporuna göre, İsrail merkezli bir tehdit grubu son zamanlarda sofistike e-posta saldırılarına karışmıştır. Bu olağandışı bir durumdur, çünkü Abnormal Security tarafından incelenen saldırıların çoğunluğu geçen yıl Nijerya'dan kaynaklanmaktadır. Rapor, İsrailli tehdit aktörlerinin gelişen sofistike yöntemlerini vurgulamakta ve saldırılarını gerçekleştirmek için ileri teknikler geliştirdiklerini göstermektedir.

İsrail saldırganları, iş e-postası hilesi (BEC) saldırılarını gerçekleştirmek için sofistike sahteleme tekniklerinden yararlanmaktadır. Rapor, Şubat 2021'den bu yana yaklaşık 350 BEC saldırısını takip etmiş ve hepsini bu belirli gruba atfetmiştir. İsrailli saldırganların kullandığı yöntemler arasında, finansal işlemlerden sorumlu üst düzey yöneticileri taklit etmek, hedef şirketin içinden ve dışından kişilikler kullanmak ve hatta e-postaları hedef organizasyonun yaygın olarak kullandığı dile çevirmek yer almaktadır.

Saldırganların kullandığı dikkate değer bir taktik, sahte e-postaları sahtelenmiş yöneticilerden göndermektir, böylece e-postanın CEO veya organizasyon içindeki diğer üst düzey bir kişiden geldiği gibi görünür. Bu, hedef organizasyonun genellikle e-posta sahteciliğini önleyen bir DMARC politikası olduğunda, gönderme adını CEO'nun adını taklit etmek suretiyle yapılır. Saldırganlar, alıcıları daha da aldatmak için gerçek alan adlarını da kullanmaktadır.

Saldırılar, iç ve dış mesaj vektörlerini içeren belirli bir çerçeveyi takip etmektedir. İç vektörler genellikle hedeflenen organizasyondaki üst düzey yöneticileri taklit ederken, dış vektörler, genellikle KPMG gibi saygın firmalardan olan birleşme ve satın alma konularında uzmanlaşmış gerçek avukatları içermektedir. İlk temas kurulduktan sonra saldırganlar, yaklaşan bir satın alma ile ilgili olarak başlangıç ödemesi talep etmektedir. Bazı durumlarda, saldırganlar hatta saldırıyı hızlandırmak ve delil izlerini azaltmak için iletişimi en aza indrimek için sesli görüşmeler üzerinden de devam ettikleri gözlemlendi.

Rapor, bu saldırılara ilişkin birkaç önemli bulguyu vurgulamaktadır. Hedef alınan organizasyonlar, önemli ortalama yıllık gelire sahip çok uluslu şirketlerdir ve 6 kıtada yer alan 61 ülkeden çalışanlar bu sahte e-postaları almıştır. Bir saldırıda talep edilen ortalama miktar 712.000 dolar olup, bu, tipik bir BEC saldırısının önemli ölçüde üzerindedir. Saldırganlar e-postalarında genellikle İngilizce kullanmaktadır, ancak İspanyolca, Fransızca, İtalyanca ve Japonca gibi dillerde de çeviriler sunmaktadır. Ayrıca, saldırıların yaklaşık %80'inin Mart, Haziran-Temmuz ve Ekim-Aralık aylarında gerçekleştiğini belirtmek de önemlidir.

Saldırganların İsrail'de bulunmasına rağmen, motivasyonları devlet dışı aktörlerle uyumlu olup, başlıca finansal kazanç odaklıdır. Rapor, İsrail'in siber güvenlik yenilikleri konusundaki tarihsel ününü kabul eder ve ülkenin sınırları içinde tehdit aktörlerinin ortaya çıkmasıyla arasındaki çelişkiyi vurgular.

Bu BEC saldırılarının artan ciddiyeti ve talep edilen yüksek miktarlar, güçlü e-posta güvenlik önlemlerine olan ihtiyacı ortaya koymaktadır. Abnormal Security, BEC saldırılarını tespit etmek için insanları eğitmeyi ve davranışsal yapay zeka kullanarak anormallikleri tespit eden otomatik savunma sistemlerini kombinasyon halinde kullanmayı önermektedir. E-postanın hala kazançlı bir saldırı vektörü olması nedeniyle, tehdit aktörlerinin taktiklerini geliştirmeleri, yeni yaklaşımlar denemeleri ve e-posta kullanıcılarını etkilemeye yönelik girişimlerinde daha hedefli ve sofistike hale gelmeleri beklenmektedir. Kuruluşların Slack, Zoom ve Microsoft Teams gibi iletişim platformlarını benimserken, güvenlik etkilerini dikkate almak ve riskleri azaltmak için uygun savunma mekanizmalarının yerinde olduğundan emin olmak önemlidir.

Israel-based Hackers Show growing Sophistication of Message Attacks

According to a report by email security firm Abnormal Security, a threat group based in Israel has recently been involved in sophisticated email attacks. This is an unusual occurrence, as the majority of attacks analyzed by Abnormal Security over the past year originated from Nigeria. The report highlights the growing sophistication of the Israeli threat actors, who have developed advanced techniques to carry out their attacks.

The attackers from Israel have been using sophisticated spoofing techniques to perpetrate business email compromise (BEC) exploits. The report tracked approximately 350 BEC exploits dating back to February 2021, all attributed to this particular group. The methods employed by the Israeli attackers include spoofing senior leaders who are responsible for financial transactions, using personas both inside and outside the target company, and even translating emails into the language commonly used by the target organization.

One notable tactic used by the attackers is to send fake emails from spoofed executives, making it appear as if the email is coming from a CEO or other high-ranking individual within the organization. This is done by updating the sending display name to mimic the CEO's name, particularly if the target organization has a DMARC policy that would typically prevent email spoofing. The attackers also make use of real domains to further deceive the recipients.

The attacks follow a specific framework involving both internal and external message vectors. The internal vectors typically impersonate high-level executives within the targeted organization, while the external vectors involve real attorneys specializing in mergers and acquisitions, often from reputable firms like KPMG. Once the initial contact is made, the attackers request an initial payment related to an impending acquisition. In some cases, the attackers even transition the conversation from email to a voice call via WhatsApp to expedite the attack and minimize the evidence trail.

The report highlights several key findings regarding these attacks. The targeted organizations are multinational enterprises with significant average annual revenue, and employees from 61 countries across six continents have received these fraudulent emails. The average amount requested in an attack is $712,000, which is significantly higher than the average BEC attack. The attackers primarily use English for their emails but also provide translations in Spanish, French, Italian, and Japanese. It is also worth noting that approximately 80% of the attacks occur in March, June-July, and October-December.

 

Although the attackers are based in Israel, their motivations align with those of non-state actors, primarily driven by financial gain. The report acknowledges the historical reputation of Israel as a hub for cybersecurity innovation and highlights the contrast between the country's innovation in cybersecurity and the emergence of threat actors within its borders.

The increasing severity of these BEC attacks and the higher amounts requested indicate the need for robust email security measures. Abnormal Security recommends a combination of human training to identify BEC exploits and automated defense systems that utilize behavioral AI to detect anomalies and prevent attacks before they reach their targets. With email continuing to be a lucrative attack vector, it is expected that threat actors will evolve their tactics, test new approaches, and become more targeted and sophisticated in their attempts to compromise email users. As organizations adopt communication platforms like Slack, Zoom, and Microsoft Teams, it is crucial to consider their security implications and ensure proper defenses are in place to mitigate risks.

 

 

 PaperCut Fidye Yazılımı Saldırısı  

 

Daha önceden ve 2020nin başlarında uyarıldığı 2020 günümüzde hacker'lar, yaygın olarak güncellenmemiş veya eski sürümlü yazıcı sürücü dosyalarını kullanarak zafiyetlerinden faydalanarak altyapılarına sızmayı ve şirketlerden veya kullanıcılardan bilgi çalmayı artan bir şekilde kullanmaktadır.

Hacker'lar, özellikle eski veya güncellenmemiş sürücü dosyalarının zafiyetlerinden faydalanarak bilgi çalmak için bu tür saldırıları gerçekleştirebilirler. Yazıcılar genellikle ağlara ve bilgisayarlara bağlanır ve sürücüler, yazıcı ile işletim sistemi arasında yazılım arabirimleri olarak görev yapar. Eğer bu sürücülerin bilinen zafiyetleri varsa, hacker'lar bunları kullanarak izinsiz erişim elde edebilirler.

Bu tür saldırıların riskini azaltmak için, yazıcı sürücülerini düzenli olarak üreticinin güncellemelerini kontrol ederek güncel tutmak son derece önemlidir. Ayrıca, güçlü ağ güvenlik önlemleri, güvenlik duvarları ve sızma tespit sistemleri gibi uygulamalar izinsiz erişimi önlemeye ve hassas bilgileri korumaya yardımcı olabilir. Düzenli güvenlik denetimleri ve çalışanlara siber güvenlik için en iyi uygulamalar konusunda eğitim vermek de başarılı saldırıların olasılığını önemli ölçüde azaltabilir."

 

 

PaperCut zafiyeti, CVE-2023-27350 numaralı FBI raporlarında da anlatıldığı üzere, PaperCut MF ve PaperCut NG yazılımlarını etkileyerek saldırganlara kimlik doğrulamasını atlamalarına ve SYSTEM yetkileriyle keyfi kod yürütmelerine olanak tanır. Zafiyet, PaperCut tarafından Mart 2023'te duyurulmuş olup, yamasız sunucular aktif olarak sömürülmektedir. Başka bir zafiyet olan CVE-2023-27351, yetkisiz saldırganlara kullanıcı bilgilerine erişme imkanı sağlar. Aşağıda gösterilen şekilde bir fidye mesajı yazdırılırken kullanıcıdan fidye alınmaya çalışılıyor.

 

Bu zafiyetten yararlanan fidye yazılımı grupları ve devlet destekli siber casusluk tehdit aktörleri aktif olarak saldırılar düzenlemektedir. Bl00dy fidye yazılımı grubu, eğitim kurumlarını hedef alarak veri çalmak ve sistemleri şifrelemektedir. Microsoft, Lace Tempest grubunun bu zafiyeti kullanarak Clop fidye yazılımı dağıttığı saldırıları rapor etmiştir. İran devlet destekli tehdit aktörleri olan Mint Sandstorm ve Mango Sandstorm da operasyonlarında bu açığı kullanmaktadır.

Bu siber güvenlik tehdidini tespit etmek için, savunmasız bir PaperCut sunucusuna erişen ağ trafiğinin SetupCompleted sayfasının izlenmesi önerilmektedir. Belirli yapılandırma anahtarlarının veya yazdırma betiklerinin değiştirilmesi, bir ihlale işaret edebilir. DNS log dosyaları, son zamanlarda PaperCut saldırılarıyla ilişkilendirilen alan adları için aranmalıdır. PaperCut sunucusundan türetilen alt süreçlerin izlenmesi ve sunucu ayarlarının ve log dosyalarının analizi, ihlallerin tespitinde yardımcı olabilir.

Bu zafiyete karşı korunmak için, savunmasız PaperCut sunucularının yamalanması hayati önem taşır. Yamalama mümkün değilse, savunmasız sunucuların internet üzerinden erişilemez olduğundan emin olunmalıdır. Harici IP adreslerinden web yönetimi bağlantı noktalarına gelen giriş trafiği engellenmeli ve yalnızca doğrulanmış site sunucularına izin vermek için IP adresi kısıtlamaları uygulanmalıdır. Tüm sistemlerin ve yazılımların güncel ve yamalı olduğunu sağlamak da yaygın zafiyetlerden kaçınmak için önemlidir.

Microsoft Siber Sabotaj Gruplarının saldırılarını tweet ile haber verdi

PaperCut'ı 200'den fazla ülkede kullanan 70.000'den fazla kuruluş bulunmasıyla, diğer tehdit aktörleri bu zafiyeti sömürmeye ilgi duymuşlardır. CISA, ABD'de yayınlanan PaperCut sunucularının (%68'i, savunmasız ve savunmasız olmayan sunucuları içerir) Eğitim Tesisleri Alt Sektörüne ait olduğunu bildirmiştir. PaperCut'ın web sitesine göre, müşterileri arasında yerel yönetimler, hukuk, yaşam bilimleri, sağlık ve yükseköğretim de bulunmaktadır. Microsoft, 5 Mayıs 2023 tarihinde, iki İran devlet destekli siber casusluk tehdit aktörü olan Mint Sandstorm (aka Charming Kitten ve Phosphorus) ve Mango Sandstorm (aka Muddy Water, Static Kitten ve Mercury) 'un, genel halka açık kavram kanıtları yayınlandıktan sonra operasyonlarında hızla bu açığı kullandıklarını ve ilk erişimi elde ettiklerini tweetlerinde belirtmişlerdir.