Undertaker
New member
Kaspersky uzmanları, nisan ayında daha evvel keşfedilmemiş Google Chrome ve Microsoft Windows sıfır gün açıklarını kullanarak epey sayıda şirketi hedefleyen bir hücum dizisi keşfetti.
Şirketten yapılan açıklamaya bakılırsa, son aylarda sıfır gün açıklarını kullanan yeni bir gelişmiş tehdit dalgası alanda öne çıktı. Nisan ayının ortalarında Kaspersky uzmanları, saldırganların hedeflenen ağları gizlice ele geçirmesine imkan tanıyan, fazlaca sayıda şirkete yönelik yeni bir yüksek seviyede amaçlı açıklardan yararlanan tehdit dalgası keşfetti. Kaspersky, bu akınlarla bilinen tehdit aktörleri içinde çabucak hemen bir temas bulamadı. Bu niçinle bu yeni oyuncuya “PuzzleMaker” ismi verildi.
Akınlar, Chrome tarayıcısı üzerinden gerçekleştirildi ve uzaktan kod yürütmeye müsaade veren bir açıktan yararlanıldı. Kaspersky araştırmacıları, uzaktan yürütme açığının kodunu alamamış olsa da vakit çizelgesi ve kullanım aktiviteleri saldırganların şu anda yamanmış olan CVE-2021-21224 güvenlik açığını kullandığını gösteriyor. Bu güvenlik açığı, Chrome ve Chromium web tarayıcıları tarafınca kullanılan bir JavaScript motoru olan V8’deki Tıp Uyuşmazlığı yanlışıyla ilgili ve saldırganların Chrome derleyici sürecinden yararlanmalarına imkan tanıyor.
Kaspersky uzmanları, Microsoft Windows işletim sistemi çekirdeğindeki iki farklı güvenlik açığından yararlanan ikinci istismarı bulup tahlil etmeyi başardı. Hassas çekirdek ayrıntılarını sızdıran bu güvenlik açığı, “CVE-2021-31955” olarak işaretlendi. Bu açık birinci vakit içinderda Windows Vista ile tanıtılan ve yaygın olarak kullanılan uygulamaları belleğe evvelde yükleyerek yazılım yükleme müddetlerini azaltmayı amaçlayan bir özellik olan SuperFetch ile ilişkili durumda bulunuyor.
Chrome ve Windows açıklarından yararlanıyor
Saldırganların çekirdekten yararlanmasına ve bilgisayara erişim elde etmesine imkan tanıyan ikinci güvenlik açığı “CVE-2021-31956” ismiyle biliniyor ve yığın tabanlı arabellek taşmasına karşılık geliyor. Saldırganlar, rastgele bellek okuma/yazma unsurları oluşturmak ve sistem ayrıcalıklarıyla berbat hedefli yazılım modüllerini yürütmek için Windows Bildirim Tesisi (WNF) ile bir arada CVE-2021-31956 güvenlik açığını kullanıyor.
Saldırganlar, hedeflenen sisteme yerleşmek için hem Chrome tıpkı vakitte Windows açıklarından yararlandıktan daha sonra basamaklı bir modül sayesinde uzak sunucudan daha karmaşık bir berbat gayeli yazılımı indirip çalıştırıyor. çabucak sonrasında Microsoft Windows işletim sistemine ilişkin yasal evraklar üzere görünen iki çalıştırılabilir belge yükleniyor. Bu belgelerden ikincisi belgeleri indirip yükleyebilen, nazaranvler oluşturabilen, muhakkak müddet boyunca uyuyabilen ve virüs bulaşmış sistemden kendisini silebilen bir uzak kabuk modülüne karşılık geliyor.
Microsoft, her iki Windows güvenlik açığı için yamaları yayınladı.
Öbür tehdit aktörleri tarafınca taarruzlarda kullanıldığını görmemiz mümkün
Açıklamada görüşlerine yer verilen Global Araştırma ve Tahlil Grubu (GReAT) Kıdemli Güvenlik Araştırmacısı Boris Larin, “Bu ataklar yüksek oranda hedeflenmiş olsa da onları çabucak hemen bilinen rastgele bir tehdit aktörüne bağlamadık. Bu niçinle ardındaki aktöre PuzzleMaker ismini verdik. Bu kümenin gelecekteki faaliyetlerini yahut yeni bilgiler için güvenlik ortamını yakından izleyeceğiz. Genel olarak son vakit içinderda, sıfır gün açıklarından kaynaklanan yüksek profilli tehdit faaliyeti dalgası görüyoruz. Sıfır gün açıkları amaca bulaşmak için en tesirli yol olmaya devam ediyor. Ayrıyeten, kelam konusu güvenlik açıkları artık bilinir hale geldiğinden başka tehdit aktörleri tarafınca akınlarda kullanıldığını görmemiz mümkün. Bu niçinle kullanıcıların Microsoft’un yayınladığı en son yamaları mümkün olan en kısa müddette yüklemeleri gerekiyor.” tabirlerini kullandı.
Kaspersky eserleri, kelam konusu güvenlik açıklarına ve ilgili makus gayeli yazılım modüllerine yönelik istismarı algılıyor ve bunlara karşı muhafaza sağlıyor.
Tehditlerden korunmak için neler yapılmalı?
Kaspersky uzmanları, kuruluşu kelam konusu güvenlik açıklarından yararlanan hücumlardan korumak için şunları öneriyor:
“Chrome tarayıcınızı ve Microsoft Windows’u mümkün olan en kısa müddette güncelleyin ve bunu sistemli olarak yapın. Kaspersky Endpoint Security for Business üzere berbata kullanması tedbire, davranış algılama ve makus maksatlı hareketleri geri alabilen bir düzeltme motoruyla desteklenen muteber bir uç nokta güvenlik tahlili kullanın. Tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi için yetenekler sunan anti-APT ve EDR tahlilleri kurun. SOC grubunuza en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle marifetlerini tertipli olarak güncelleyin. Bunların tümü Kaspersky Expert Security framework dahilinde mevcuttur. Uygun uç nokta muhafazasının yanı sıra özel hizmetler yüksek profilli ataklara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar amaçlarına ulaşmadan evvel atakları erken kademelerinde belirlemenize ve durdurmanıza yardımcı olur.”
KAYNAK: AA
Şirketten yapılan açıklamaya bakılırsa, son aylarda sıfır gün açıklarını kullanan yeni bir gelişmiş tehdit dalgası alanda öne çıktı. Nisan ayının ortalarında Kaspersky uzmanları, saldırganların hedeflenen ağları gizlice ele geçirmesine imkan tanıyan, fazlaca sayıda şirkete yönelik yeni bir yüksek seviyede amaçlı açıklardan yararlanan tehdit dalgası keşfetti. Kaspersky, bu akınlarla bilinen tehdit aktörleri içinde çabucak hemen bir temas bulamadı. Bu niçinle bu yeni oyuncuya “PuzzleMaker” ismi verildi.
Akınlar, Chrome tarayıcısı üzerinden gerçekleştirildi ve uzaktan kod yürütmeye müsaade veren bir açıktan yararlanıldı. Kaspersky araştırmacıları, uzaktan yürütme açığının kodunu alamamış olsa da vakit çizelgesi ve kullanım aktiviteleri saldırganların şu anda yamanmış olan CVE-2021-21224 güvenlik açığını kullandığını gösteriyor. Bu güvenlik açığı, Chrome ve Chromium web tarayıcıları tarafınca kullanılan bir JavaScript motoru olan V8’deki Tıp Uyuşmazlığı yanlışıyla ilgili ve saldırganların Chrome derleyici sürecinden yararlanmalarına imkan tanıyor.
Kaspersky uzmanları, Microsoft Windows işletim sistemi çekirdeğindeki iki farklı güvenlik açığından yararlanan ikinci istismarı bulup tahlil etmeyi başardı. Hassas çekirdek ayrıntılarını sızdıran bu güvenlik açığı, “CVE-2021-31955” olarak işaretlendi. Bu açık birinci vakit içinderda Windows Vista ile tanıtılan ve yaygın olarak kullanılan uygulamaları belleğe evvelde yükleyerek yazılım yükleme müddetlerini azaltmayı amaçlayan bir özellik olan SuperFetch ile ilişkili durumda bulunuyor.
Chrome ve Windows açıklarından yararlanıyor
Saldırganların çekirdekten yararlanmasına ve bilgisayara erişim elde etmesine imkan tanıyan ikinci güvenlik açığı “CVE-2021-31956” ismiyle biliniyor ve yığın tabanlı arabellek taşmasına karşılık geliyor. Saldırganlar, rastgele bellek okuma/yazma unsurları oluşturmak ve sistem ayrıcalıklarıyla berbat hedefli yazılım modüllerini yürütmek için Windows Bildirim Tesisi (WNF) ile bir arada CVE-2021-31956 güvenlik açığını kullanıyor.
Saldırganlar, hedeflenen sisteme yerleşmek için hem Chrome tıpkı vakitte Windows açıklarından yararlandıktan daha sonra basamaklı bir modül sayesinde uzak sunucudan daha karmaşık bir berbat gayeli yazılımı indirip çalıştırıyor. çabucak sonrasında Microsoft Windows işletim sistemine ilişkin yasal evraklar üzere görünen iki çalıştırılabilir belge yükleniyor. Bu belgelerden ikincisi belgeleri indirip yükleyebilen, nazaranvler oluşturabilen, muhakkak müddet boyunca uyuyabilen ve virüs bulaşmış sistemden kendisini silebilen bir uzak kabuk modülüne karşılık geliyor.
Microsoft, her iki Windows güvenlik açığı için yamaları yayınladı.
Öbür tehdit aktörleri tarafınca taarruzlarda kullanıldığını görmemiz mümkün
Açıklamada görüşlerine yer verilen Global Araştırma ve Tahlil Grubu (GReAT) Kıdemli Güvenlik Araştırmacısı Boris Larin, “Bu ataklar yüksek oranda hedeflenmiş olsa da onları çabucak hemen bilinen rastgele bir tehdit aktörüne bağlamadık. Bu niçinle ardındaki aktöre PuzzleMaker ismini verdik. Bu kümenin gelecekteki faaliyetlerini yahut yeni bilgiler için güvenlik ortamını yakından izleyeceğiz. Genel olarak son vakit içinderda, sıfır gün açıklarından kaynaklanan yüksek profilli tehdit faaliyeti dalgası görüyoruz. Sıfır gün açıkları amaca bulaşmak için en tesirli yol olmaya devam ediyor. Ayrıyeten, kelam konusu güvenlik açıkları artık bilinir hale geldiğinden başka tehdit aktörleri tarafınca akınlarda kullanıldığını görmemiz mümkün. Bu niçinle kullanıcıların Microsoft’un yayınladığı en son yamaları mümkün olan en kısa müddette yüklemeleri gerekiyor.” tabirlerini kullandı.
Kaspersky eserleri, kelam konusu güvenlik açıklarına ve ilgili makus gayeli yazılım modüllerine yönelik istismarı algılıyor ve bunlara karşı muhafaza sağlıyor.
Tehditlerden korunmak için neler yapılmalı?
Kaspersky uzmanları, kuruluşu kelam konusu güvenlik açıklarından yararlanan hücumlardan korumak için şunları öneriyor:
“Chrome tarayıcınızı ve Microsoft Windows’u mümkün olan en kısa müddette güncelleyin ve bunu sistemli olarak yapın. Kaspersky Endpoint Security for Business üzere berbata kullanması tedbire, davranış algılama ve makus maksatlı hareketleri geri alabilen bir düzeltme motoruyla desteklenen muteber bir uç nokta güvenlik tahlili kullanın. Tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi için yetenekler sunan anti-APT ve EDR tahlilleri kurun. SOC grubunuza en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle marifetlerini tertipli olarak güncelleyin. Bunların tümü Kaspersky Expert Security framework dahilinde mevcuttur. Uygun uç nokta muhafazasının yanı sıra özel hizmetler yüksek profilli ataklara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar amaçlarına ulaşmadan evvel atakları erken kademelerinde belirlemenize ve durdurmanıza yardımcı olur.”
KAYNAK: AA