ahmetbeyler
Active member
Son aylarda sıfır gün açıklarını kullanan yeni bir gelişmiş tehdit dalgası alanda öne çıktı. Nisan ayının ortalarında Kaspersky uzmanları, saldırganların hedeflenen ağları gizlice ele geçirmesine imkan tanıyan, fazlaca sayıda şirkete yönelik yeni bir yüksek seviyede amaçlı açıklardan yararlanan yeni bir tehdit dalgası keşfetti.
Kaspersky, bu akınlarla bilinen tehdit aktörleri içinde çabucak hemen bir irtibat bulamadı. Bu niçinle bu yeni oyuncuya PuzzleMaker ismi verildi.
Hücumlar Chrome tarayıcısı üzerinden gerçekleştirildi ve uzaktan kod yürütmeye müsaade veren bir açıktan yararlanıldı. araştırmacılar uzaktan yürütme açığının kodunu alamamış olsa da vakit çizelgesi ve kullanım aktiviteleri saldırganların şu anda yamanmış olan CVE-2021-21224 güvenlik açığını kullandığını gösteriyor. Bu güvenlik açığı, Chrome ve Chromium web tarayıcıları tarafınca kullanılan bir JavaScript motoru olan V8’deki Çeşit Uyuşmazlığı yanılgısıyla ilgili ve saldırganların Chrome derleyici sürecinden yararlanmalarına imkan tanır.
tıpkı vakitte uzmanlar, Microsoft Windows işletim sistemi çekirdeğindeki iki farklı güvenlik açığından yararlanan ikinci istismarı bulup tahlil etmeyi başardı. Hassas çekirdek ayrıntılarını sızdıran bu güvenlik açığı CVE-2021-31955 olarak işaretlendi. Bu açık birinci vakit içinderda Windows Vista ile tanıtılan ve yaygın olarak kullanılan uygulamaları belleğe öncesinden yükleyerek yazılım yükleme müddetlerini azaltmayı amaçlayan bir özellik olan SuperFetch ile ilişkili.
Saldırganların çekirdekten yararlanmasına ve bilgisayara erişim elde etmesine imkan tanıyan ikinci güvenlik açığı – CVE-2021-31956 ismiyle biliniyor ve yığın tabanlı arabellek taşmasına karşılık geliyor. Saldırganlar, rastgele bellek okuma/yazma prensipleri oluşturmak ve sistem ayrıcalıklarıyla makus maksatlı yazılım modüllerini yürütmek için Windows Bildirim Tesisi (WNF) ile birlikte CVE-2021-31956 güvenlik açığını kullanıyor.
Saldırganlar, hedeflenen sisteme yerleşmek için hem Chrome tıpkı vakitte Windows açıklarından yararlandıktan daha sonra, evreli bir modül sayesinde uzak sunucudan daha karmaşık bir berbat maksatlı yazılımı indirip çalıştırıyor. sonrasındasında Microsoft Windows işletim sistemine ilişkin legal belgeler üzere görünen iki çalıştırılabilir evrak yükleniyor. Bu belgelerden ikincisi belgeleri indirip yükleyebilen, bakılırsavler oluşturabilen, belli mühlet boyunca uyuyabilen ve virüs bulaşmış sistemden kendisini silebilen bir uzak kabuk modülüne karşılık geliyor.
Microsoft, her iki Windows güvenlik açığı için yamaları yayınladı.
Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Boris Larin, şunları söz ediyor: “Bu akınlar yüksek oranda hedeflenmiş olsa da onları çabucak hemen bilinen rastgele bir tehdit aktörüne bağlamadık. Bu niçinle, ardındaki aktöre PuzzleMaker ismini verdik. Bu kümenin gelecekteki faaliyetlerini yahut yeni bilgiler için güvenlik ortamını yakından izleyeceğiz. Genel olarak son vakit içinderda, sıfır gün açıklarından kaynaklanan yüksek profilli tehdit faaliyeti dalgası görüyoruz. Sıfır gün açıkları amaca bulaşmak için en tesirli formül olmaya devam ediyor. Ayrıyeten kelam konusu güvenlik açıkları artık bilinir hale geldiğinden öteki tehdit aktörleri tarafınca akınlarda kullanıldığını görmemiz mümkün. Bu niçinle kullanıcıların Microsoft’un yayınladığı en son yamaları mümkün olan en kısa müddette yüklemeleri gerekiyor.”
Kuruluşunuzu üstteki güvenlik açıklarından yararlanan ataklardan korumak için Kaspersky uzmanları şunları öneriyor:
Chrome tarayıcınızı ve Microsoft Windows’u mümkün olan en kısa müddette güncelleyin ve bunu nizamlı olarak yapın
Berbata kullanması tedbire, davranış algılama ve makus maksatlı aksiyonları geri alabilen bir düzeltme motoruyla desteklenen emniyetli bir uç nokta güvenlik tahlili kullanın.
Tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi için yetenekler sunan anti-APT ve EDR tahlilleri kurun. SOC takımınıza en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle marifetlerini tertipli olarak güncelleyin.
Uygun uç nokta muhafazasının yanı sıra, özel hizmetler yüksek profilli akınlara karşı yardımcı olabilir.
Kaspersky, bu akınlarla bilinen tehdit aktörleri içinde çabucak hemen bir irtibat bulamadı. Bu niçinle bu yeni oyuncuya PuzzleMaker ismi verildi.
Hücumlar Chrome tarayıcısı üzerinden gerçekleştirildi ve uzaktan kod yürütmeye müsaade veren bir açıktan yararlanıldı. araştırmacılar uzaktan yürütme açığının kodunu alamamış olsa da vakit çizelgesi ve kullanım aktiviteleri saldırganların şu anda yamanmış olan CVE-2021-21224 güvenlik açığını kullandığını gösteriyor. Bu güvenlik açığı, Chrome ve Chromium web tarayıcıları tarafınca kullanılan bir JavaScript motoru olan V8’deki Çeşit Uyuşmazlığı yanılgısıyla ilgili ve saldırganların Chrome derleyici sürecinden yararlanmalarına imkan tanır.
tıpkı vakitte uzmanlar, Microsoft Windows işletim sistemi çekirdeğindeki iki farklı güvenlik açığından yararlanan ikinci istismarı bulup tahlil etmeyi başardı. Hassas çekirdek ayrıntılarını sızdıran bu güvenlik açığı CVE-2021-31955 olarak işaretlendi. Bu açık birinci vakit içinderda Windows Vista ile tanıtılan ve yaygın olarak kullanılan uygulamaları belleğe öncesinden yükleyerek yazılım yükleme müddetlerini azaltmayı amaçlayan bir özellik olan SuperFetch ile ilişkili.
Saldırganların çekirdekten yararlanmasına ve bilgisayara erişim elde etmesine imkan tanıyan ikinci güvenlik açığı – CVE-2021-31956 ismiyle biliniyor ve yığın tabanlı arabellek taşmasına karşılık geliyor. Saldırganlar, rastgele bellek okuma/yazma prensipleri oluşturmak ve sistem ayrıcalıklarıyla makus maksatlı yazılım modüllerini yürütmek için Windows Bildirim Tesisi (WNF) ile birlikte CVE-2021-31956 güvenlik açığını kullanıyor.
Saldırganlar, hedeflenen sisteme yerleşmek için hem Chrome tıpkı vakitte Windows açıklarından yararlandıktan daha sonra, evreli bir modül sayesinde uzak sunucudan daha karmaşık bir berbat maksatlı yazılımı indirip çalıştırıyor. sonrasındasında Microsoft Windows işletim sistemine ilişkin legal belgeler üzere görünen iki çalıştırılabilir evrak yükleniyor. Bu belgelerden ikincisi belgeleri indirip yükleyebilen, bakılırsavler oluşturabilen, belli mühlet boyunca uyuyabilen ve virüs bulaşmış sistemden kendisini silebilen bir uzak kabuk modülüne karşılık geliyor.
Microsoft, her iki Windows güvenlik açığı için yamaları yayınladı.
Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Boris Larin, şunları söz ediyor: “Bu akınlar yüksek oranda hedeflenmiş olsa da onları çabucak hemen bilinen rastgele bir tehdit aktörüne bağlamadık. Bu niçinle, ardındaki aktöre PuzzleMaker ismini verdik. Bu kümenin gelecekteki faaliyetlerini yahut yeni bilgiler için güvenlik ortamını yakından izleyeceğiz. Genel olarak son vakit içinderda, sıfır gün açıklarından kaynaklanan yüksek profilli tehdit faaliyeti dalgası görüyoruz. Sıfır gün açıkları amaca bulaşmak için en tesirli formül olmaya devam ediyor. Ayrıyeten kelam konusu güvenlik açıkları artık bilinir hale geldiğinden öteki tehdit aktörleri tarafınca akınlarda kullanıldığını görmemiz mümkün. Bu niçinle kullanıcıların Microsoft’un yayınladığı en son yamaları mümkün olan en kısa müddette yüklemeleri gerekiyor.”
Kuruluşunuzu üstteki güvenlik açıklarından yararlanan ataklardan korumak için Kaspersky uzmanları şunları öneriyor:
Chrome tarayıcınızı ve Microsoft Windows’u mümkün olan en kısa müddette güncelleyin ve bunu nizamlı olarak yapın
Berbata kullanması tedbire, davranış algılama ve makus maksatlı aksiyonları geri alabilen bir düzeltme motoruyla desteklenen emniyetli bir uç nokta güvenlik tahlili kullanın.
Tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi için yetenekler sunan anti-APT ve EDR tahlilleri kurun. SOC takımınıza en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle marifetlerini tertipli olarak güncelleyin.
Uygun uç nokta muhafazasının yanı sıra, özel hizmetler yüksek profilli akınlara karşı yardımcı olabilir.