Etiket arşivi: phishing

Oltalama saldırısına uğrayan demir yolu 1,6 milyon dolar zarar etti!

12 Şubat 2024 Oğuzcan Balyemez Yorum yapın

Güney Afrika Demiryolları kimlik avı saldırısıyla 1,6 milyon dolar zarara uğradı.

Güney Afrika Yolcu Demiryolu Ajansı (PRASA), ulaşım ağının bir kimlik avı dolandırıcılığına kurban gitmesinin ardından yaklaşık 30,6 milyon rand (1,6 milyon ABD doları) zarara açıkladı.

PRASA yıllık raporunda, toplam zararın yarısının başarılı bir şekilde kurtarıldığı kalan bakiyenin kurtarılması için soruşturmanın sürdüğü belirtildi.

Kimlik avı saldırısıyla ilgili ayrıntılar kamuya açıklanmasa da KnowBe4’dan James McQuiggan, devlet kurumunun raporuna dayanarak, saldırının içeriden bir çalışanın yardımıyla gerçekleşmiş olma ihtimalinin fazla olduğunu iddia etti.

McQuiggan, “İster kasıtlı ister kasıtsız olsun, içeriden gelen tehditler kuruluşlar için önemli bir risk oluşturuyor ve verilerinin, personelinin ve tesislerinin bütünlüğünü, gizliliğini ve kullanılabilirliğini etkiliyor.” yorumunda bulundu.

DEMİRYOLU SİSTEMLERİ HEDEFTE

Demiryolu ağları ve ulaşım sistemleri hem operasyonel bütünlüklerini hem de veri güvenliklerini tehdit eden çok sayıda siber tehditle karşı karşıya kalmaya devam ediyor.

Trend Micro’dan Bharat Mistry, “Demiryolu sistemlerini hedef alan saldırılar arasında fidye yazılım saldırıları, hizmet reddi saldırıları gibi başlıca ciddi saldırılar yer alıyor.” dedi.

Mistry, “Fidye yazılımları, yolcu işlemleri bilet sistemleri, cep telefonu uygulamaları ve yolcu bilgi sistemleri de dâhil olmak üzere demiryolu BT sistemlerini hedef alan ve bu hizmetleri kullanılamaz hâle getirerek kesintiye neden oluyor. Bu da ulaşım sektöründe giderek artıyor.” diyerek sistemlerin hedefte olduğunun altını çizdi.

DİJİTAL BANKACILIK DOLANDIRICILIĞI ARTIYOR

Güney Afrika Bankacılık Risk Bilgi Merkezi’ne (SABRIC) göre, bölgedeki dijital bankacılık dolandırıcılığı artıyor ve 2022 yılına kıyasla dijital bankacılık dolandırıcılığı vakalarında %30’luk bir artış görülüyor.

Fidye yazılım saldırılarında bir ilk: Rusya’yı durdurmak için Belarus demir yolunu hacklediler

Aynı zamanda yönetim hizmeti firması Aon tarafından yapılan bir araştırmaya göre de Güney Afrika’da e-posta dinleme dolandırıcılığı artıyor. Ankete katılan her beş şirketten biri (%22) son beş yıl içinde böyle bir olay yaşadığını bildiriyor.

KnowBe4’dan Javvad Malik, sosyal mühendislik ve özellikle de oltalama saldırılarının, Afrika’daki birçok kuruluş için büyük bir sorun olmaya devam ettiğini söyledi.

Malik, “2023 Sektörlere Göre Kimlik Avı kıyaslama raporumuza göre, ortalama olarak her büyüklükteki kuruluşta Afrikalı çalışanların yaklaşık üçte biri (%32,8) herhangi bir güvenlik farkındalığı eğitimi almadıkları için kimlik avı saldırısına maruz kalmaya açıktır.” açıklamasında bulundu.

İNSAN FAKTÖRÜ RİSK OLUŞTURUYOR

İnsanların kimlik avı dolandırıcılığına karşı duyarlılığından faydalanmak, bölgedeki birçok güvenlik ihlalinde başat faktör olmaya devam ediyor.

McQuiggan, işletmelerin kimlik avı saldırılarını savuşturması için ilgili davranışları tanımayı, olası içeriden tehditleri değerlendirmeyi ve risk azaltma programını uygulamayı içeren içeriden tehditleri tanımlamaya, tespit etmeye, değerlendirmeye ve yönetmeye odaklanmalarını öneriyor.

İnsan faktörünün altını çizmek için McQuiggan, “Kuruluşlar, içeriden gelen tehditlerin şiddet, casusluk, sabotaj, hırsızlık ve siber eylemler de dâhil olmak üzere çeşitli şekillerde ortaya çıkabileceğini anlamalıdır.” ifadelerini kullandı.

Dijital Güvenlik

Hamas siber cepheden de saldırdı: İsrail’de savunma sektörü hedefte!

10 Ekim 2023 Oğuzcan Balyemez Yorum yapın

İsrail’de özel sektörü hedef alan bir dizi siber saldırının arkasında Gazze merkezli bir siber tehdit aktörü olduğu iddia edildi.

Microsoft tarafından yayımlanan bir raporda Hamas’ın çıkarlarına fayda sağladığı düşünülen bir tehdit aktörününün, İsrail’in enerji, savunma ve telekomünikasyon hizmetleri veren özel kuruluşlarını hedef aldığı bildirildi.

“HAMAS’IN ÇIKARLARINI İLERLETMEK İÇİN ÇALIŞIYOR”

Microsoft, yıllık olarak yayımladığı Dijital Savunma Raporu’nda İsrail ve Filistin arasında gerçekleşen olayların siber dünyaya da taşındığına dair örnekler verdi.

Storm-1133 adlı Gazze merkezli bir tehdit aktörünü tanımlayan Microsoft, bu grubun İsrail’de enerji, savunma ve telekomünikasyon hizmetleri veren özel kuruluşları hedef aldığını takip ettiklerini belirtti.

Raporda, “Bu grubun Gazze Şeridi’nde fiili yönetim otoritesi olan Sünni militan bir grup olan Hamas’ın çıkarlarını ilerletmek için çalıştığını değerlendiriyoruz çünkü bu gruba atfedilen faaliyetler büyük ölçüde Hamas’a düşman olarak algılanan kuruluşları etkiledi.” ifadeleri kullanıldı.

Savaşın siber cephesi: Bir veri merkezi ve hacker sığınağı vuruldu

Kampanyanın hedefleri arasında İsrail enerji ve savunma sektörlerindeki kuruluşlar ile merkezi Batı Şeria bölgesinde bulunan Filistinli milliyetçi ve sosyal demokrat bir siyasi parti olan El Fetih’e sadık kuruluşlar da yer aldı.

“KİMLİK AVI VE ZARARLI YAZILIMLARLA SALDIRIYORLAR”

Tehdit aktörünün saldırısına ilişkin detaylara değinilen raporda tehdit aktörlerinin amacının “saldırı zincirleri ve sosyal mühendislik saldırıları düzenlyerek LinkedIn’de İsrailli insan kaynakları yöneticileri, proje koordinatörleri ve yazılım geliştiricileri gibi görünen sahte profillerle kimlik avı mesajları göndermek, keşif yapmak ve İsrailli kuruluşlardaki çalışanlara kötü amaçlı yazılım göndermek” olduğu belirtildi.

Microsoft, Storm-1133’ün, İsrail ile kamusal bağları olan üçüncü taraf kuruluşlara sızmaya çalıştığını da gözlemlediğini söyledi.

Rapor, İsrail, ABD ve Hindistan’daki hükûmet web sitelerini ve BT sistemlerini çökertmeyi amaçlayan Ghosts of Palestine gibi kötü niyetli hacktivist operasyonlardaki artışla birlikte İsrail-Filistin çatışmasındaki tırmanışla örtüşüyor.

Tehdit istihbarat platformu Falconfeeds de X’te (eski adıyla Twitter) paylaştığı bir gönderide “Asyalı hacktivist grupların İsrail, Hindistan ve hatta Fransa gibi ülkeleri, özellikle de ABD ile olan uyumları nedeniyle aktif olarak hedef aldığı yaklaşık 70 olay yaşandı.” ifadelerini kullandı.

Siber Güvenlik

Qakbot siber suç şebekesine uluslararası operasyon: 8,6 milyon dolar kripto paraya el konuldu!

17 Eylül 2023 Onur Usta Yorum yapın

Fidye yazılım saldırıları düzenleyen siber suç çetesi Qakbot’a ABD’nin öncülüğünde uluslararası bir operasyon düzenlendi.

Farklı ülkelerin polis teşkilatı ve ABD Kolluk kuvvetlerince düzenlenen teknik operasyonda zararlı botnet yazılımı Qakbot ağının altyapısı çökertildi.

Dünya genelinde 700.000’den fazla sisteme bulaşan yazılım, Fransa’da 26.000 bilgisayara zarar verdi. Operasyonda ayrıca 8,6 milyon dolar değerinde kripto paraya el konuldu

Black Basta çetesinin arkasında kim var?

FBI’dan ve ABD Adalet Bakanlığından yapılan açıklamada çok uluslu bir operasyon, Qakbot botnet ağını dağıtmak amacıyla gerçekleştirildi. Operasyona ABD’nin yanısıra Fransa, Almanya, Hollanda, İngiltere, Romanya ve Letonya da katıldı.

Olay, ABD’nin bir botnet altyapısına karşı gerçekleştirdiğin ilk operasyon olarak tarihe geçti.

Qakbot zararlı yazılımı kurbanlarının bilgisayarlarına e-posta üzerinden gerçekleştirilen oltalama saldırılarılarıyla bulaşıyor. Qbot ve Pinkslipbot gibi farklı isimlerle de bilinen botnet, genellikle istenmeyen e-postaların dışında zararlı bağlantılar içeren iletilerle de yayılıyor.

ABD

Hackerler oltalama saldırısında Pentagon’un IP adresini kullandı

16 Eylül 2023 Oğuzcan Balyemez Yorum yapın

Siber tehdit aktörlerinin oltalama saldırısında kullandıkları IP adresi, ABD Savunma Bakanlığı’nın çıktı

NSFOCUS Security Labs, İran merkezli olduğu düşünülen APT34 grubunun oltalama saldırısını ortaya çıkardı.

Söz konusu grup Orta Doğu’da faaliyet gösterirken ABD’deki işletmeleri hedef almasıyla da biliniyor.

NSFOCUS Security Labs, OilRig veya Helix Kitten olarak da bilinen Gelişmiş Kalıcı Tehdit (APT) grubu APT34’ün Ganjavi Global Marketing Services (GGMS) adlı bir pazarlama hizmetleri şirketinin kimliğine bürünerek gerçekleştirdiği oltalama saldırısının detaylarını ortaya koydu.

APT34, kurbanlarının ana bilgisayarları üzerinde kontrol elde edebilmek için SideTwist Truva Atı’nın bir varyantını kullandı.

APT34 KİMDİR?

2014’ten beri aktif olan APT34, siber casusluk ve sabotaj konusunda uzmanlaşmasıyla biliniyor.

Özellikle Orta Doğu’da faaliyet gösteren bu grup finans, devlet, enerji, kimya ve telekomünikasyon gibi çeşitli sektörleri hedef alıyor.

Saldırı yöntemlerini farklı hedeflere göre uyarlayan hatta tedarik zinciri saldırıları yürüten APT34, gelişmiş saldırı yeteneklerine sahip bir grup olarak biliniyor.

SALDIRI NASIL GERÇEKLEŞTİ?

APT34, görünüşte işletmelere odaklanarak küresel pazarlama hizmetleri sunan hayali bir Ganjavi Global Pazarlama Hizmetleri” şirketini kurbanlara hizmet olarak sunmaya çalıştı.

Kimlik avcısı Türk, Pentagon’u dolandırırken yakayı ele verdi

Hedef aldığı işletmeye gönderdiği “GGMS Overview.doc” başlıklı bir tuzak dosyasının içine gizlenmiş kötü niyetli bir makro kodla dağıtım ortamını düzenledi.

Bu makro kod, Trojan SystemFailureReporter.exe dosyasını belgeden base64 formatında çıkarmış, %LOCALAPPDATA%\SystemFailureReporter\ dizinine yerleştirmiş ve aynı dizinde Trojan’ın etkinleştirme anahtarı olarak görev yapan bir update.xml metin dosyası oluşturdu.

Ardından, kötü niyetli makro kod “SystemFailureReporter” adlı zamanlanmış bir görev oluşturarak her beş dakikada bir Trojan’ı çağırdı ve sürekli çalışmasını sağladı.

SideTwist varyantı olarak tanımlanan Truva Atı, HTTP aracılığıyla 11.0.188.38:443 adresindeki bir CnC sunucusuyla iletişim kurdu.

İlginç olan kısımsa APT34 kampanyasının 11.0.188.38 CnC IP adresini kullanmış olması. Yapılan araştırma, bu IP adresinin Columbus, Ohio’daki Amerika Birleşik Devletleri Savunma Bakanlığı Ağ Bilgi Merkezi’ne ait olduğunu ortaya çıkardı.

Araştırmaya göre bu IP seçimi, APT34’ün sonraki saldırılarda farklı, gizli bir CnC adresini etkinleştirmek amacıyla bu işlemi test etmek için kullanmış olabileceğini düşündürüyor.

Yapay Zeka

Yapay zeka tabanlı yeni siber saldırı aracı: WormGPT nedir?

22 Temmuz 2023 Oğuzcan Balyemez Yorum yapın

Yapay zeka tabanlı yeni araç WormGPT, siber tehdit aktörlerinin sofistike siber saldırılar düzenlemesine olanak tanıyor.

Günümüzde yapay zekânın (AI) oldukça popüler hâle gelmesiyle birlikte, teknolojinin kötü niyetli aktörler tarafından kendi avantajlarına göre yeniden tasarlanması ve siber saldırılara daha hızlı ve sofistike olanaklar sunması giderek daha kolay hâle geliyor.

Siber güvenlik platformu olan SlashNext’in bulgularına göre, yeni bir AI siber suç aracı olan WormGPT, yeraltı forumlarında tehdit aktörlerinin sofistike phishing ve iş e-postası sahtekârlığı (BEC) saldırıları başlatması için bir yol olarak tanıtıldı.

WORMGPT HANGİ ÖZELLİKLERE SAHİP?

WormGPT, yapay zeka (AI) tabanlı bir siber suç aracı olarak ortaya çıktı. Bu araç, tehdit aktörlerinin sofistike phishing ve iş e-postası sahtekârlığı (BEC) saldırıları başlatmalarına olanak sağlıyor.

AI teknolojisi kullanarak, WormGPT, alıcıya özel ve son derece inandırıcı sahte e-postaların otomatik olarak oluşturulmasını sağlıyor ve böylece saldırının başarı şansını artırıyor.

Derin sinir ağlarıyla oluşan içerik çok tehlikeli bir silaha dönüşebilir

WormGPT’nin özelliği, GPT modelleri gibi meşhur dil modellerine alternatif olarak tasarlanmış olması ve ayrıca tamamen kötü niyetli faaliyetler için geliştirilmesi.

WormGPT, EleutherAI tarafından geliştirilen açık kaynaklı GPT-J dil modelini kullanıyor.

Bu tür araçların tehlikesi, yapay zekânın etik sınırlamalardan bağımsız olarak çalışabilmesi ve teknik bilgiye sahip olmayan kişilerin bile hızlı ve yaygın saldırılar başlatmasına izin vermesi olarak düşünülüyor.

Ayrıca, bu tür araçların mevcut büyük dil modellerinin kötüye kullanımını artıran diğer araçlarla birleştirilmesi ve kullanılması, siber güvenlik açısından önemli bir tehdit oluşturabiliyor.

WORMGPT’NİN TEHLİKELERİ

Güvenlik araştırmacısı Daniel Kelley, “Bu araç kendisini, özellikle kötü niyetli faaliyetler için tasarlanmış GPT modellerine kara bir alternatif olarak sunuyor.” dedi.

Yapay zekânın yarattığı tehdidin altını çizen Kelley, “WormGPT’nin herhangi bir etik sınır olmaksızın faaliyet göstermesi, acemi siber suçluların teknik yeterliliğe sahip olmaksızın hızlı ve büyük ölçekli saldırılar başlatmasına bile izin verebiliyor.” değerlendirmesinde bulundu.

Özellikle OpenAI ChatGPT ve Google Bard, ikna edici kimlik avı e-postaları üretmek ve kötü amaçlı kod oluşturmak için büyük dil modellerinin (LLM’ler) kötüye kullanılmasıyla mücadele etmek için giderek daha fazla adım atarken, WormGPT gibi araçlar kötü niyetli bir aktörün elinde güçlü bir silah hâline gelebilir.

Kelley, “Yapay zekâ, kusursuz dilbilgisine sahip e-postalar oluşturarak bunların meşru görünmesini sağlayabilir ve şüpheli olarak işaretlenme olasılığını azaltabilir.” diye konuştu.

Yapay zekâ kullanımının sofistike BEC saldırılarının yürütülmesini kolaylaştırdığını belirten Sınırlı becerilere sahip saldırganlar bile bu teknolojiyi kullanabilir ve bu da onu daha geniş bir siber suçlu yelpazesi için erişilebilir bir araç hâline getirir.” ifadelerini kullandı.

Siber Bülten