2Ocak

Yeni Keşfedilen Trojan: Lampion #36

Güvenlik araştırmacıları tarafından Lampion adında Portekizli kullanıcıları hedef alan yeni bir trojan(Truva Atı) keşfedildi. Delphi programlama diliyle geliştirilen trojan, Trojan-Banker.Win32.ChePro isimli zararlı yazılım ailesine benzetiliyor. Hem sandbox ortamında yapılan analizleri ve hem de manuel olarak yapılan analizleri zorlaştırmak için anti-debug ve anti-VM tekniklerini kullanan zararlı yazılımın, uzaktan bağlantı başlatma, ağ kaynaklarını tespit etme, ağ kaynaklarını manipüle etme ve yönlendirme, dosya yolunu elde etme, iletişim parametrelerinde değişiklik yapma gibi özelliklere sahip olduğu biliniyor.

Sisteme Nasıl Bulaşıyor?

Lampion zararlı yazılımı, Portekiz Hükümeti Finans ve Vergi kurumundan geliyormuş gibi görünen, içerisinde 2018 yılına ait borçlarla ilgili sorunların bildirildiği phishing(oltalama) mailleri ile dağıtılıyor. Kullanıcı mail içerisinde bulunan bağlantıya tıkladığında, kullanıcı bilgisayarına internetteki bir sunucu üzerinden içerisinde PDF, VBS ve TXT uzantılı 3 tane dosya bulunan “FacturaNovembro-4492154-2019-10_8.zip” isimli bir zip dosyası indiriliyor.

Zip İçerisinden Çıkan Dosyalar

Zararsız olan pdf ve txt dosyaları, sadece kullanıcıyı VBS(VBScript) uzantılı dosyayı açmaya teşvik etmek için kullanılıyor. VBScript dosyası çalıştırıldığında Lampion zararlı yazılımı sisteme bulaşmaya başlıyor.

Lampion zararlı yazılımı ile ilgili yapılan teknik analize buradan ulaşabilirsiniz.

Kuzey Koreli Hacker Grubuna Microsoft Darbesi

Microsoft, Kuzey Kore merkezli Thallium hacker grubu tarafından yönetilen ve phishing saldırılarında kullanılan 50 domaini mahkeme kararıyla kapattırdı.

Microsoft tarafından yapılan açıklamaya göre, 2010’dan beri aktif olan Thallium APT grubu, devlet kuruluşlarına, üniversitelere, insan hakları ile ilgili kuruluşların üyelerine ve nükleer silahların yayılması konusunda çalışanlara karşı Gmail, Yahoo ve Hotmail gibi servisleri kullanarak hazırladıkları sahte maillerle sosyal mühendislik saldırıları düzenliyor ve hedeflerin kişisel verilerine erişiyor. Kapatılan domain adresleri ise hazırlanan sahte mailleri göndermek ve sahte web sayfalarını yayınlamak için kullanılıyor.

Thallium trafaından gönderilen bir Phishing maili

Microsoft, yapılan saldırıların çoğunda nihai amacın kurban bilgisayarlarına uzaktan erişim sağlayan KimJongRAT ve BabyShark gibi zararlı yazılımları yüklemek olduğunu açıkladı ve Dijital Suçlar Birimi (DCU) ve Microsoft Tehdit İstihbarat Merkezi (MSTIC) ekiplerinin Thallium’un yaptığı saldırıları aylardır izlediğini, bununla beraber yapılan saldırı sonucu zararı yazılım bulaştırılan bilgisayarları da tespit edip takip ettiğini belirtti.

Drupal CMS Zafiyetleri İçin Yama Yayınlandı

Drupal ekibi geçtiğimiz günlerde 1 tanesi kritik ve 3 tanesi orta derecede kritik olmak üzere toplam 4 tane güvenlik zafiyetini gidermek için güvenlik güncelleştirmeleri yayınladı.

Kritik seviyede olan zafiyet, Drupal Core tarafından arşiv dosyaları oluşturmak, listelemek, dosyaları arşivden çıkarmak ve dosya eklemek için kullanılan “Archive_Tar” kütüphanesinin, dosyaları arşivden çıkarmak için kullandığı yöntemden dolayı kaynaklanıyor. Bu güvenlik açığını kullanabilen bir saldırgan, sunucuya zararlı bir tar dosyası yükleyerek, yüklediği dosyayı hassas dosyaların üzerine yazabiliyor. Zafiyetin sadece, kullanıcılar tarafından yüklenen .tar, .tar.gz, .bz2 veya .tlz uzantılı dosyaları işlemek üzere yapılandırılmış Drupal web sitelerini etkilediği belirtildi.

Orta seviyedeki diğer 3 güvenlik açığı için yayınlanan yamalar ise Denial of Service(Servis Kesintisi), Security Restriction Bypass(Güvenlik Kısıtlamasının Atlatılması) ve Unauthorized Access(Yetkisiz Erişim) gibi zafiyetleri gideriyor. Kritik arşiv zafiyeti için kullanıcıların CMS sürümlerini son sürüme güncelleştirmeleri, orta derecede kritik olan zafiyetler için ise Drupal sürümünün 8.7.11 ve 8.8.1 sürümlerine yükseltilmesi önerilmektedir.

Saldırganlar Yine Entercom Şirketini Hedef Aldı

235’ten fazla radyo istasyonuna ve her ay 170 milyondan fazla dinleyiciye sahip Entercom şirketine yönelik bir siber saldırı daha gerçekleşti. Eylül ayında ransomware saldırısına maruz kalan Entercom, bu saldırı sonucu 400.000 dolar gelir kaybına uğradığını açıklamıştı.

Radyo yayın sistemini hedef alan saldırganlar, bir önceki saldırıya göre daha az şiddette bir saldırı gerçekleştirseler de şirket e-posta iletişiminde ve dijital platformların içeriğine erişimlerde geçici bir kesintiye sebep oldular. Şirket yaptığı açıklamada sistemlerde meydana gelen kesintinin büyük ölçüde çözüldüğünü belirtmesine rağmen, uzmanlar bazı kullanıcıların hala problem yaşadığını bildirdi. Entercom’un 3. çeyrek bilançosunu açıkladığı konferansta konuşan Entercom CFO’su Richard Schmaeling, Eylül ayındaki saldırı sonucu yaşanılan maddi kayıplardan dolayı, şirketin gelecekteki saldırılardan korunmak için IT bütçesini 2 milyon dolar artırdığını açıklamıştı.