Geçen ay gerçekleşen Qbot kampanyası, korunan PDF dosyalarını içeren bir ek ile birlikte hedef kişilere bir e-postanın gönderildiği yeni bir dağıtım yöntemi kullanıyor.
Bunlar indirildikten sonra, cihaza Qbot kötü amaçlı yazılımı yüklenecektir. Araştırmacılar, malspam'in birden çok dilde gönderildiğini, yani kuruluşların dünya çapında hedef alınabileceğini buldu. En popüler IoT kötü amaçlı yazılımlarından biri olan Mirai de geçen ay geri dönüş yaptı. Araştırmacılar, Mirai'nin yeni bir sıfır gün güvenlik açığından (CVE-2023-1380) yararlanarak TP-Link yönlendiricilerine saldırdığını ve bunları tüm zamanların en yaygın DDoS saldırılarından bazılarında kullanılmış olan botnet'ine eklediğini keşfetti. Bu son kampanya, IOT saldırılarının yaygınlaşmasıyla ilgili kapsamlı bir Check Point Research (CPR) raporunu takip ediyor.
Yazılım hizmeti sağlayıcılarını hedefleme
Almanya'da siber saldırılardan etkilenen sektörlerde de bir değişiklik oldu: ilk etapta değil, çünkü perakende ve toptan satış en çok saldırıya uğrayan alan olmaya devam ediyor. Ancak, ISP/MSP (yazılım hizmeti sağlayıcıları) ikinci sıraya yükselirken, sağlık hizmetleri Nisan ayında en çok saldırıya uğrayan 3. sektöre geriledi. Sağlık tesislerine yönelik saldırılar iyi belgelenmiştir ve bazı ülkeler sürekli saldırılarla karşı karşıya kalmaya devam etmektedir. Sektör, potansiyel olarak hassas hasta ve ödeme bilgilerine erişim sağlayan bilgisayar korsanları için kazançlı bir hedef olmaya devam ediyor. Bu, klinik deneylerde veya yeni ilaç ve cihazlarda sızıntılara yol açabileceği için ilaç şirketlerini etkileyebilir.
"Siber suçlular, kısıtlamaları aşmak için sürekli olarak yeni yollar üzerinde çalışıyor ve bu kampanyalar, kötü amaçlı yazılımların hayatta kalmak için nasıl uyum gösterdiğinin bir başka kanıtı. Check Point Software'de Araştırmadan Sorumlu Başkan Yardımcısı Maya Horowitz, "Qbot'un yenilenen kampanyası, bize kapsamlı bir siber güvenliğe sahip olmanın ve bir e-postanın kaynağını ve amacını değerlendirmede gereken özeni göstermenin önemini hatırlatıyor" dedi.
Almanya'daki en popüler kötü amaçlı yazılım
*Oklar, bir önceki aya göre sıralamadaki değişimi göstermektedir.
1. ↔ Qbot – Qbot olarak da bilinen Qbot, ilk olarak 2008'de ortaya çıkan bir bankacılık Truva Atı'dır. Bir kullanıcının bankacılık bilgilerini ve tuş vuruşlarını çalmak için tasarlanmıştır. Genel olarak istenmeyen e-postalar aracılığıyla dağıtılan Qbot, analizi karmaşık hale getirmek ve tespitten kaçınmak için birden fazla sanal makine önleme, hata ayıklama önleme ve korumalı alan önleme teknikleri kullanır.
2. ↑ NanoCore – NanoCore, Windows işletim sistemi kullanıcılarını hedefleyen bir uzaktan erişim Truva Atı'dır ve ilk kez 2013'te vahşi doğada gözlemlenmiştir. RAT'ın tüm sürümleri, ekran kaydı, kripto para madenciliği, uzak masaüstü kontrolü ve web kamerası oturumlarını çalma gibi temel eklentileri ve özellikleri içerir.
3. ↑ AgentTesla – AgentTesla, keylogger ve parola hırsızı olarak çalışan ve 2014'ten beri aktif olan gelişmiş bir RAT'dir. AgentTesla, kurbanın tuş vuruşlarını ve panosunu izleyebilir ve toplayabilir, ekran görüntüleri yakalayabilir ve kurbanın bilgisayarında yüklü çeşitli yazılımlar (Google Chrome, Mozilla Firefox ve Microsoft Outlook e-posta istemcisi dahil) için kimlik bilgilerini sızdırabilir. AgentTesla, çeşitli çevrimiçi pazarlarda ve bilgisayar korsanlığı forumlarında satılmaktadır.
İlk 3 güvenlik açığı
Geçen ay, Web Sunucuları Kötü Amaçlı URL Dizini Geçişi, dünya çapındaki kuruluşların yüzde 48'ini etkileyen en çok kullanılan güvenlik açığı oldu, ardından yüzde 4 ile Apache Log44j Uzaktan Kod Yürütme ve yüzde 43 küresel etki ile HTTP Başlıkları Uzaktan Kod Yürütme izledi.
↑ Web Sunucuları Kötü Amaçlı URL Dizini Geçişi – Çeşitli web sunucularında bir dizin geçişi güvenlik açığı bulunmaktadır. Güvenlik açığı, dizin geçiş kalıpları için URI'yi düzgün bir şekilde temizlemeyen bir web sunucusundaki bir giriş doğrulama hatasından kaynaklanır. Başarılı bir istismar, kimliği doğrulanmamış saldırganların güvenlik açığı bulunan sunucudaki rasgele dosyaları açığa çıkarmasına veya bunlara erişmesine olanak tanır.
↓ Apache Log4j Uzaktan Kod Yürütme (CVE-2021-44228) – Apache Log4j'de uzaktan kod yürütmeye izin veren bir güvenlik açığı bulunmaktadır. Bu güvenlik açığından başarıyla yararlanılması, uzaktaki bir saldırganın etkilenen sistemde rasgele kod çalıştırmasına olanak verebilir.
↓ HTTP Başlıkları Uzaktan Kod Yürütme (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – HTTP başlıkları, istemcinin ve sunucunun, iletmek için bir HTTP isteği ile ek bilgiler içermesine olanak tanır. Uzaktaki bir saldırgan, kurbanın makinesinde rasgele kod yürütmek için savunmasız bir HTTP başlığı kullanabilir.
İlk 3 Mobil Kötü Amaçlı Yazılım
Geçen ay Ahmyth en yaygın mobil kötü amaçlı yazılım oldu ve onu Anubis ve Hiddad izledi.
1. ↔ AhMyth – AhMyth, 2017'de keşfedilen bir Uzaktan Erişim Truva Atı'dır (RAT). Uygulama mağazalarında ve çeşitli web sitelerinde bulunan Android uygulamaları aracılığıyla dağıtılır. Bir kullanıcı bu virüslü uygulamalardan birini yüklediğinde, kötü amaçlı yazılım cihazdan hassas bilgiler toplayabilir ve keylogging, ekran görüntüsü alma, SMS mesajları gönderme ve kamerayı etkinleştirme gibi eylemler gerçekleştirebilir.
↔ Anubis – Anubis, Android telefonlar için geliştirilmiş bir bankacılık Truva Atı'dır. İlk tespitinden bu yana, uzaktan erişim truva atı (RAT), keylogger ve ses kayıt yetenekleri ve çeşitli fidye yazılımı işlevleri dahil olmak üzere ek özellikler kazanmıştır. Google Store'daki yüzlerce farklı uygulamada tespit edildi.
↔ Hiddad – Hiddad, meşru uygulamaları yeniden paketleyen ve ardından bunları üçüncü taraf bir mağazada yayınlayan bir Android kötü amaçlı yazılımıdır. Ana işlevi reklamları görüntülemektir, ancak önemli işletim sistemi güvenlik ayrıntılarına da erişebilir.
Bir anın var mı?
2023 kullanıcı anketimiz için birkaç dakikanızı ayırın ve B2B-CYBER-SECURITY.de'nin daha iyi olmasına yardımcı olun!Yalnızca 10 soruyu yanıtlamanız yeterlidir ve anında Kaspersky, ESET ve Bitdefender'dan ödüller kazanma şansınız olur.
Buradan doğrudan ankete gidersiniz
Almanya'da saldırıya uğrayan sektörler
1. ↔ Perakende/Toptan (Perakende/Toptan)
2. ↑ BT Hizmet Sağlayıcısı/Yönetilen Hizmet Sağlayıcısı (ISP/MSP)
3. ↓ Eğitim/Araştırma
Check Point'in Küresel Tehdit Etki Endeksi ve ThreatCloud Haritası, Check Point'in ThreatCloud Intelligence tarafından desteklenmektedir. ThreatCloud, ağlar, uç noktalar ve cep telefonlarındaki dünya çapındaki yüz milyonlarca sensörden elde edilen gerçek zamanlı tehdit istihbaratı sağlar. Bu zeka, yapay zeka tabanlı motorlar ve Check Point Software Technologies'in araştırma ve geliştirme departmanı olan Check Point Research'ün özel araştırma verileriyle zenginleştirilmiştir.
Daha fazlası Checkpoint.com'da
kontrol noktası hakkında Check Point Software Technologies GmbH (www.checkpoint.com/de), dünya çapında kamu idareleri ve şirketler için lider bir siber güvenlik çözümleri sağlayıcısıdır. Çözümler, sektör lideri kötü amaçlı yazılım, fidye yazılımı ve diğer saldırı türlerini algılama oranıyla müşterileri siber saldırılardan koruyor. Check Point, kurumsal bilgileri bulut, ağ ve mobil cihazlarda koruyan çok katmanlı bir güvenlik mimarisi ve en kapsamlı ve sezgisel "tek kontrol noktası" güvenlik yönetim sistemi sunar. Check Point, her ölçekten 100.000'den fazla işletmeyi korur.