10 Hacker Grubu Exchange Güvenlik Açıklarına Saldırıyor

12. Mart 2021
| Yorum yok
10 Hacker Grubu Exchange Güvenlik Açıklarına Saldırıyor

Gönderiyi paylaş

Ondan fazla bilgisayar korsanı grubu, Microsoft Exchange güvenlik açıklarına saldırıyor. ESET, çoğu Almanya'da olmak üzere 5.000'den fazla virüslü e-posta sunucusu tespit etti.

Microsoft Exchange'de son zamanlarda ortaya çıkan genel güvenlik açıkları, giderek daha fazla dalga oluşturuyor. BT güvenlik üreticisi ESET'teki araştırmacılar, şu anda e-posta sunucularını tehlikeye atmak ve şirket verilerine erişim elde etmek için güvenlik açıklarından giderek daha fazla yararlanan ondan fazla farklı APT grubu (Gelişmiş Kalıcı Tehditler) keşfetti. Yani tehdit daha önce sanıldığı gibi Çin hafniyum grubuyla sınırlı değil. ESET, dünya çapında güvenliği ihlal edilmiş yaklaşık 5.000 kurumsal ve devlet e-posta sunucusu tespit etti. Hacker gruplarının hedeflerinin çoğu Almanya'da. Güvenlik uzmanlarının telemetrisi, sözde web kabuklarının varlığını gösterdi. Bu kötü amaçlı programlar veya komut dosyaları, bir sunucunun bir web tarayıcısı aracılığıyla uzaktan kontrol edilmesini sağlar. BT uzmanları, ESET Security Blog welivesecurity.de'de ayrıntılı bir analiz yayınlar.

Güncellemeler zaten kullanıma sunuldu

ESET anında tepki gösterdi ve şirketler için güvenlik çözümlerinde kullanılan saldırı vektörleri ve kötü amaçlı işlevlere ilişkin analizlerini güncellemelerle kullanıma sundu. Fidye yazılımı gibi kötü amaçlı kodların çalıştırılması, istismar bilinmeden önce bile, ESET B2B çözümlerinin çok katmanlı teknolojisi tarafından tespit edilirdi. ESET B2B çözümleri, bilinen açıklardan yararlanmaya dayalı web kabukları ve arka kapılar gibi kötü amaçlı yazılım saldırılarını da algılar. Bundan bağımsız olarak, Microsoft tarafından sağlanan güvenlik güncellemelerinin yüklenmesi zorunludur.

Önerilen erken uyarı sistemlerinin kullanılması

Uç nokta tespit ve yanıt çözümlerinin (EDR çözümleri) kullanılması, birçok durumda şirket verilerinin çalınmasını sınırlayabilir veya önleyebilirdi. "ESET Enterprise Inspector gibi EDR çözümlerinin yardımıyla, yöneticiler şüpheli etkinlikten erken bir aşamada haberdar edilebilirdi. Bu şekilde, uygun önlemlerle önlemek için güvenlik açığından yararlanılmasına rağmen şirket verilerinin çıkışı erken bir aşamada kaydedilebilirdi," diye açıklıyor ESET Almanya Güvenlik İş Stratejisi Müdürü Michael Schröder.

Güvenlik duruşunu değerlendirmek için, Exchange sunucuları aşağıdaki algılamalar açısından kontrol edilmelidir:

  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/Web Kabuğu
  • ASP/ReGeorg

 

ESET analizi siber casusluk gruplarını ortaya koyuyor

"Microsoft'un Exchange yamalarını yayınladığı günden bu yana, Exchange sunucularını toplu olarak tarayan ve tehlikeye atan daha fazla bilgisayar korsanı gördük. İlginç bir şekilde, bunların hepsi casusluk faaliyetleriyle ünlü APT gruplarıdır. ESET'in konuyla ilgili araştırmasına liderlik eden Matthieu Faou, fidye yazılımı operatörleri gibi diğer grupların da bu açıklardan yararlanacağından ve gemiye atlayacağından eminiz” diyor. ESET araştırmacıları ayrıca bazı APT gruplarının yamalar kullanıma sunulmadan önce güvenlik açıklarından yararlandığını da keşfetti. Faou, "Dolayısıyla, bu grupların Microsoft güncellemelerine tersine mühendislik uygulayarak bir istismar oluşturduğunu göz ardı edebiliriz" diye ekliyor.

Yöneticiler için üç hızlı Exchange ipucu

  • Exchange sunucuları mümkün olan en kısa sürede yamalanmalıdır. Bu, doğrudan İnternet'e bağlı olmadıklarında da geçerlidir.
  • Yöneticilere web kabuklarını ve diğer kötü amaçlı etkinlikleri kontrol etmeleri ve bunları hemen kaldırmaları önerilir.
  • Giriş bilgileri derhal değiştirilmelidir.

Matthieu Faou, "Olay, Microsoft Exchange veya SharePoint gibi karmaşık uygulamaların İnternet'e açık olmaması gerektiğini çok iyi bir şekilde hatırlatıyor" diyor.

APT grupları ve davranış kalıpları

  • Kene – BT hizmetleri sağlayan Doğu Asya merkezli bir şirketin web sunucusunu tehlikeye attı. LuckyMouse ve Calypso örneğinde olduğu gibi, grubun muhtemelen yamalar yayınlanmadan önce bir istismara erişimi vardı.
  • ŞanslıFare - Orta Doğu'daki bir devlet kurumunun e-posta sunucusuna bulaştı. Bu APT grubu muhtemelen yamalar yayınlanmadan en az bir gün önce, henüz sıfır günken bir istismara sahipti.
  • Kalipso - Orta Doğu ve Güney Amerika'daki devlet kurumlarının e-posta sunucularına saldırdı. Grubun açıktan yararlanmaya büyük olasılıkla sıfır gün erişimi vardı. Takip eden günlerde, Calypso operatörleri Afrika, Asya ve Avrupa'daki diğer hükümet ve kurumsal sunuculara saldırdı.
  • web sitesi - Asya'daki şirketlerin (BT, telekom ve mühendislik sektörlerindeki) ve Doğu Avrupa'daki bir devlet kuruluşunun sahip olduğu yedi e-posta sunucusu hedeflendi.
  • Winnti Grubu - Asya'daki bir petrol şirketinin ve bir inşaat makineleri şirketinin e-posta sunucularını tehlikeye attı. Grup muhtemelen yamalar yayınlanmadan önce bir açıktan yararlanma erişimine sahipti.
  • tonto takımı - her ikisi de Doğu Avrupa'da bulunan bir tedarik şirketinin ve yazılım geliştirme ve siber güvenlik konusunda uzmanlaşmış bir danışmanlık firmasının e-posta sunucularına saldırdı.
  • ShadowPad etkinliği - Asya merkezli bir yazılım geliştirme şirketinin ve Orta Doğu merkezli bir emlak şirketinin e-posta sunucularına bulaştı. ESET, ShadowPad arka kapısının bilinmeyen bir grup tarafından eklenen bir çeşidini keşfetti.
  • "Operasyon" Kobalt Saldırısı – Yamalar yayınlandıktan birkaç saat sonra, çoğu ABD, Almanya, İngiltere ve diğer Avrupa ülkelerinde olmak üzere yaklaşık 650 sunucuyu hedef aldı.
  • IIS arka kapıları - ESET, bu ihlallerde kullanılan web kabukları aracılığıyla Asya ve Güney Amerika'daki dört e-posta sunucusunda kurulu IIS arka kapılarını gözlemledi. Arka kapılardan biri halk arasında Owlproxy olarak bilinir.
  • mikrocea - genellikle bu grup tarafından hedeflenen bir bölge olan Orta Asya'daki bir kamu hizmeti şirketinin Exchange sunucusunun güvenliği ihlal edildi.
  • DLTMiner - ESET, daha önce Exchange güvenlik açıkları tarafından saldırıya uğrayan birkaç e-posta sunucusunda PowerShell indiricilerinin kullanıldığını keşfetti. Bu saldırıda kullanılan ağ altyapısı, daha önce bildirilen bir madeni para madenciliği kampanyasıyla bağlantılı.

Arka plân

Microsoft, Mart ayının başlarında Exchange Server 2013, 2016 ve 2019 için kimlik doğrulamadan önce bir dizi Uzaktan Kod Yürütme (RCE) güvenlik açığını gideren yamalar yayınladı. Güvenlik açıkları, bir saldırganın geçerli kimlik bilgilerini bilmesi gerekmeden erişilebilir herhangi bir Exchange sunucusunu ele geçirmesine olanak tanıyarak, İnternet'e bakan Exchange sunucularını özellikle savunmasız hale getirir.

ESET.com adresindeki WeLiveSecurity'de daha fazla bilgi edinin

 

ESET Hakkında

ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.

 

Konuyla ilgili makaleler

5G ortamları için koruma sağlayan siber güvenlik platformu

Siber güvenlik uzmanı Trend Micro, kuruluşların sürekli genişleyen saldırı yüzeyini korumaya yönelik platform tabanlı yaklaşımını açıklıyor. ➡ Devamını oku

Veri manipülasyonu, hafife alınan tehlike

Her yıl 31 Mart Dünya Yedekleme Günü, güncel ve kolay erişilebilir yedeklemelerin öneminin bir hatırlatıcısıdır ➡ Devamını oku

Güvenlik riski olarak yazıcılar

Kurumsal yazıcı filoları giderek kör nokta haline geliyor ve verimlilikleri ve güvenlikleri açısından çok büyük sorunlar yaratıyor. ➡ Devamını oku

Yapay Zeka Yasası ve veri korumasına ilişkin sonuçları

Yapay Zeka Yasası ile yapay zekaya yönelik ilk yasa onaylandı ve yapay zeka uygulamaları üreticilerine altı ay ila ➡ Devamını oku

Windows işletim sistemleri: Neredeyse iki milyon bilgisayar risk altında

Windows 7 ve 8 işletim sistemleri için artık herhangi bir güncelleme bulunmamaktadır. Bu, açık güvenlik boşlukları anlamına gelir ve bu nedenle değerli ve ➡ Devamını oku

Kurumsal Depolamadaki yapay zeka, fidye yazılımlarıyla gerçek zamanlı olarak savaşır

NetApp, fidye yazılımlarıyla mücadele etmek için yapay zekayı (AI) ve makine öğrenimini (ML) doğrudan birincil depolamaya entegre eden ilk şirketlerden biridir ➡ Devamını oku

Sıfır Güven Veri Güvenliği için DSPM ürün paketi

Veri Güvenliği Duruş Yönetimi - kısaca DSPM - şirketlerin çokluğa karşı siber dayanıklılık sağlamaları açısından çok önemlidir ➡ Devamını oku

Veri şifreleme: Bulut platformlarında daha fazla güvenlik

Son zamanlarda Trello gibi çevrimiçi platformlar sıklıkla siber saldırıların hedefi oluyor. Bulutta daha etkili veri şifrelemeyi sağlayan 5 ipucu ➡ Devamını oku

ESET, Halkla İlişkiler Mesajları
, , , , ,