Güney Amerikalı hacker grubu Lapsus$’un, Nvidia’ya gerçekleştirilen siber saldırının arkasında olduğu ve Nvidia’nın verilerini geri almak için Lapsus$ grubunu geri hacklediği iddia ediliyor. Nvidia ise yaptığı açıklamada sistemlerinin tehlikeye girmesine sebep olan bir güvenlik olayını araştırdığını belirtti.
Geçtiğimiz günlerde Lapsus$, Nvidia’dan 1 TB veri çaldığını ve Nvidia çalışanlarının parolalarını ve güvenlik bilgilerini sızdırmakla tehdit ettiğini iddia ediliyordu. İddialarını desteklemek için bazı ekran görüntülerini de paylaşmıştı. Bu açıklamadan kısa bir süre sonra hacker grubu, Nvidia’nın kendilerini hacklediğini ve çalınan verileri şifrelediğini iddia etti. Ancak hacker gurubu hacklenmiş olsa dahi verilerin bir kopyası olduğunu belirtiyor. Birçok veri şifrelemesi olayı ile gündeme gelen grup aralık ayının başlarında, Brezilya sağlık bakanlığına yapılan ve ulusal bağışıklık programı verilerinin çalınmasını içeren bir saldırının sorumluluğunu da üstlenmişti. Diğer bir yandan bazı kaynakların iddiasına göre, Lapsus$’un Nvidia çalışanlarına ait bilgileri Telegram’da sızdırdığı da belirtiliyor.
Conti Gurubunun Özel Mesajları Sızdırıldı
Conti grubunun Ukrayna’nın işgali konusunda Rusya’nın yanında yer almasının ardından, Ukraynalı bir güvenlik araştırmacısı, Conti fidye yazılımı operasyonuna ait 60.000‘den fazla iç mesajı sızdırdı. Son birkaç yıldır Conti/TrickBot operasyonunu izleyen AdvIntel CEO’su Vitali Kremez, sızdırılan mesajların gerçek olduğunu ve malware grubu tarafından kullanılan bir log sunucusundan alındığını doğruladı.
Bu konuşmalar, daha önce bildirilmemiş kurbanlar, özel veri sızıntısı URL’leri, bitcoin adresleri ve operasyonlarıyla ilgili tartışmalar dahil olmak üzere grubun faaliyetleri hakkında çeşitli bilgiler içeriyor.
Conti grubu, Rus hükümetinin Ukrayna’ya yönelik saldırısına tam desteklerini açıklayan bir blog yazısı yayınlamıştı. Ayrıca, herhangi biri Rusya’ya karşı bir siber saldırı düzenlerse, Conti grubunun kritik altyapılarına karşılık vereceği konusunda da uyarı yayınlanmıştı. Ukraynalı Conti üyeleri Rusya’nın yanında yer almaktan rahatsız olduktan sonra, Conti grubu “hiçbir hükümetle ittifak yapmadıklarını” ve “devam eden savaşı kınadıklarını“ belirterek mesajlarını değiştirdiler. Ancak, fikir değiştirmeleri uzun sürdüğü içi ve Conti’nin backend XMPP sunucusuna erişimi olduğu bildirilen Ukraynalı bir güvenlik araştırmacısı, gazetecilere sızdırılan verileri içeren bir e-posta gönderdi.
Rusya’nın Ukrayna’yı işgali, bilgisayar korsanlarının, malware gruplarının ve güvenlik araştırmacılarının çatışmada taraf seçmesine yol açıyor. Bazı malware grupları Rusya’nın yanında yer alırken, LockBit gibi tarafsızlığını koruyan guruplar olduğunu da belirtmek isteriz.
Microsoft SQL Sunucularına Cobalt Strike ile Backdoor Saldırısı
Siber saldırganlar, bir simülasyon aracı olan Cobalt Strike aracılığıyla zafiyetli MS SQL sunucularına saldırı başlattı. Güney Kore siber güvenlik şirketi AhnLab “MSSQL’i hedef alan saldırılar, kötü biçimde yapılandırılmış sunuculara yönelik brute forcing tipinde saldırılardan oluşuyor” bilgisini verdi.
Penetrasyon testi amaçlı geliştirilen Cobalt Strike, sistemde “beacon” isimli bir agent bırakılmasını sağlıyor ve saldırgana sistemde erişim veriyor. Cobalt Strike, Red Team tehdit simülasyon aracı olmasına rağmen, lisanssız sürümler saldırganlar tarafından da aktif olarak kullanılmaya devam ediyor.
AhnLab Security Emergency Response Center tarafından belirlenen saldırılarda açık MSSQL sunucularını keşfetmek için 1433 portunun tarandığı ve brute force saldırılarının yönetici hesabını ele geçirmek için kullanıldığı keşfedildi. Ancak bu, internete kapalı olan sunucuların güvende olduğu anlamına gelmiyor. LemonDuck yazılımı bir ağa sızdıktan sonra, ağdaki diğer cihazlarda da aynı portu tarıyor. Başarılı bir biçimde sızdıktan sonra saldırganlar MSSQL “sqlservr.exe” aracılığıyla Windows Command Shell elde ediliyor ve Cobalt Strike binary’sini içeren payload’u sisteme indiriyor.
Resmi NPM Paket Reposunda Zararlı JavaScript Kütüphanesi
14 tane zararlı JavaScript kütüphanesinin yayınlanmasından kısa bir süre sonra, resmi NPM Paket Deposunda Discord token’larını ve çevresel değişkenleri (API erişim token’ları, kimlik doğrulama anahtarları, hesap adları) çalmayı amaçlayan 25 adet zararlı JavaScript kütüphanesi yayınlandı. DevOps güvenlik firması JFrog, paketleri “basit kötü amaçlı yazılımlar” olarak nitelendirerek, söz konusu kütüphanelerin yazım denetimi tekniklerinden yararlandığını ve color.js, crypto-js, discord.js ve noblox.js gibi diğer güvenli kütüphaneler gibi gözüktüğü belitti.
Söz konusu zararlı kütüphaneler şu şekildedir:
- node-colors-sync (Discord token stealer)
- color-self (Discord token stealer)
- color-self-2 (Discord token stealer)
- wafer-text (Environment variable stealer)
- wafer-countdown (Environment variable stealer)
- wafer-template (Environment variable stealer)
- wafer-darla (Environment variable stealer)
- lemaaa (Discord token stealer)
- adv-discord-utility (Discord token stealer)
- tools-for-discord (Discord token stealer)
- mynewpkg (Environment variable stealer)
- purple-bitch (Discord token stealer)
- purple-bitchs (Discord token stealer)
- noblox.js-addons (Discord token stealer)
- kakakaakaaa11aa (Connectback shell)
- markedjs (Python remote code injector)
- crypto-standarts (Python remote code injector)
- discord-selfbot-tools (Discord token stealer)
- discord.js-aployscript-v11 (Discord token stealer)
- discord.js-selfbot-aployscript (Discord token stealer)
- discord.js-selfbot-aployed (Discord token stealer)
- discord.js-discord-selfbot-v4 (Discord token stealer)
- colors-beta (Discord token stealer)
- vera.js (Discord token stealer)
- discord-protection (Discord token stealer)
CISA ve FBI, Veri Silme Saldırılarının Yayılabilir!
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), ABD kuruluşlarını Ukrayna’yı hedef alan veri silme saldırılarının diğer ülkelerdeki hedeflere sıçrayabileceği konusunda uyarı yayınladı. İki federal kurum bu uyarıyı, Rusya’nın Ukrayna’yı haksız yere işgal etmesinin ardından hafta sonu yayınlanan ortak bir siber güvenlik tavsiyesi şeklinde yayınladı.
Bu kötü amaçlı yazılım türü şimdiye kadar yalnızca Ukrayna ağlarına karşı konuşlandırılmış olsa dahi, tehdit aktörlerinin diğer hedefleri de vurabileceği belirtiliyor.
Kurumların bu tür kötü amaçlı yazılımları algılamasına ve engellemesine yardımcı olmak için HermeticWiper ve WhisperGate kötü amaçlı yazılımlara karşı tehlike göstergelerini (IOC’ler) paylaşılıyor.
Zararlılara karşı acil savunma olarak alması gereken ortak önlemler listesi ise şu şekilde belirtiliyor.
- Düzenli taramalar yaparak virüsten koruma ve kötü amaçlı yazılımdan koruma uygulamaları kullanın.
- Kimlik avı e-postalarının son kullanıcılara ulaşmasını önlemek için güçlü bir spam filtresi kullanın.
- Çok faktörlü kimlik doğrulamayı kurum geneline yayın.
- Ağ trafiğini filtreleyerek inceleyin.
- Yazılımlarınızı güncelleyin.
Ortak tavsiyenin sonunda, izlenecek ve engellenecek potansiyel dağıtım vektörlerinin yanı sıra en iyi uygulamalar ve planlama stratejilerinin kapsamlı bir listesi CISa ve FBI tarafından paylaşılıyor.
Toyota, Tedarikçilerine Yapılan Saldırı Sonrasında Üretimi Durdurdu
Japon otomobil üreticisi Toyota, otomobil üretim faaliyetlerini durdurduğunu açıkladı. Kesinti, siber saldırıya uğradığı bildirilen hayati parça tedarikçilerinden biri olan Kojima Industries’deki bir sistem arızasından kaynaklanıyor. Toyota, olayın 1 Mart 2022 Salı gününden itibaren Japonya’daki 14 fabrikadaki 28 üretim hattının operasyonunu askıya almaya karar vermesine neden olduğunu belirtiyor.
Kojima saldırıyla ilgili herhangi bir resmi bilgi yayınlamamış olsa da, şirketin web sitesi şu anda çevrimdışı ve birçok Japon haber kuruluşu, kesintinin doğrudan bir siber saldırının sonucu olduğunu iddia ediyor. Kojima Industries’deki olay hakkında bilgisi olan bir yetkili yerel basına , şirketin “siber saldırıdan etkilendiğini” ve en büyük önceliğin Toyota’nın üretimine devam etmek olduğunu söyledi.
Ukrayna, Rus’ları Hacklemek İçin Siber Ordu Kuruyor!
Ukrayna Dijital Dönüşüm Bakanı Mykhaylo Fedorov, siber cephede Rusya’ya karşı operasyonel görevler yürütecek bir “BT Ordusu” için gönüllü “dijital yeteneklere” ihtiyaçları olduğunu açıkladı.
Bir liste yayınlayarak hedefleri belirten Ukrayna Dijital Dönüşüm Bakanı, Rus devletine ait IP adresleri, depolama cihazları, eposta sunucuları, üç banka, kritik altyapıyı destekleyen büyük şirketler ve hatta popüler Rus arama motoru ve e-posta portalı Yandex dahil olmak üzere 31 noktayı hedef olarak gösterdi.
Citibank Müşterilerine Phishing Saldırısı
Devam eden büyük ölçekli bir phishing saldırısı Citibank müşterilerini hedef alıyor ve alıcıların iddia edilen hesap blokelerini kaldırmak için kişisel bilgilerini vermesi isteniyor. Phishing saldırısında CitiBank logolarının yer aldığı e-postalar, ilk bakışta orijinal gibi görünen gönderen adresleri ve yazım hatası olmayan içerikler kullanılılıyor. Bu noktada gerçek e-postalardan ayrılmasını da zorlaştırıyor.
Bu saldırılara hedef olan CitiBank müşterilerine, şüpheli bir işlem veya başka birinin giriş denemesi nedeniyle hesaplarının askıya alındığı bilgisi verilerek korkutma tekniği uygulanıyor. Gerçeğe çok yakın e-postalarda kurbanlar bilgilerini girdikleri takdirde saldırganlar amaçlarına ulaşmış oluyor.
NSA Bağlantılı Bvp47 Linux Arka Kapısı
Yayınlanan bir raporda, ABD Ulusal Güvenlik Ajansı’na bağlı gelişmiş kalıcı tehdit aktörü olan Equation Group ile bağlantılı, Bvp47 olarak izlenen bir Linux arka kapısının teknik yönleri incelendi.
Bvp47, yaklaşık on yıl önce, 2013’ün sonlarında Virus Total antivirüs veritabanına ilk kez gönderilmesine rağmen bugüne kadar farkedilmemiş olması dikkat çekiyor! Rapor infosec topluluğunda yayıldıkça, algılama gelişmeye başladı ve yazıldığı anda altı motor tarafından kötü amaçlı olarak işaretlendi
Adli incelemeden elde edilen Bvp47 örneğinin, özel bir anahtar gerektiren RSA asimetrik şifreleme algoritmasıyla korunan bir uzaktan kontrol işlevine sahip Linux için gelişmiş bir arka kapı olduğu kanıtlanmış oldu.
DeadBolt Fidye Yazılımı ASUSTOR Cihazlarını Hedefliyor
DeadBolt fidye yazılımı dosyaları şifreleyerek, bitcoin cinsinden 1.150 $ fidye talep ediyor. Artık ASUSTOR NAS cihazlarını hedefleyen bu kötü amaçlı yazılım hızla yayılmaya devam ediyor.
Geçen ay QNAP NAS cihazlarını hedef alan DeadBolt fidye yazılımı saldırılarına benzer şekilde, tehdit aktörleri ASUSTOR NAS cihazlarını şifrelemek için sıfır gün güvenlik açığı kullandığını iddia ediyor.
ASUSTOR aygıtındaki dosyaları şifrelerken, .deadbolt dosya uzantısını içerecek şekilde yeniden adlandırıyor. Kurban cihazların ASUSTOR giriş ekranında da 0.03 bitcoin talep eden bir fidye notu ekleniyor.
ASUSTOR, NAS cihazlarının nasıl şifrelendiğini açıklamamış olsa da, bazı ASUSTOR sahipleri, PLEX medya sunucusunda veya EZ Connect’te cihazlarına erişime izin veren bir güvenlik açığı olduğu belirtiliyor.
.