Etiket arşivi: truva atı

Siber Saldırılar

Siber saldırı araçları 5 dolara kadar düştü

Yorum yapın

Siber saldırı araçları 5 dolara kadar düştüSavunmasız kurbanların yanı sıra dev şirketlere ve hatta devletlere ait cihazlarda yıkıma neden olduğu bilinen siber saldırıları gerçekleştirmeye yarayan kitlerin fiyatlarının şaşırtıcı derecede düşük olduğu ortaya çıktı.

Yakın zamanda bu tehlikeli saldırı paketleri hakkında Sectrio siber güvenlik şirketi “2022’nin Küresel Tehdit Manzarası” başlıklı bir rapor yayımladı.

Rapordaki son bilgiler, DDoS, Kimlik Avı ve fidye yazılımı gibi önde gelen siber saldırı kitlerinin dark web’de 5 dolar gibi sembolik denebilecek rakamlar karşılığında satışa çıkarıldığını gösterdi. Bu araçlar siber saldırı gerçekleştirmek için minimum seviyede teknik bilgi gerektirdiklerinden ötürü, hacker olma hevesi taşıyan pek çok kişi tarafından rağbet görüyor.

Uzaktan Erişim Truva Atı/Aracı (RAT) gibi kötü amaçlı yazılım araçları, herkesin herhangi birinin cihaz sistemine tam erişim ve uzaktan kontrol sağlıyor. Böylesine tehlikeli bir aracın fiyatının 5-45$ bandında olduğunu bilmek hem şaşırtıcı hem de ürkütücü.

Benzer şekilde, alıcılar dark web’de phishing saldırı kitlerini uygun fiyatlara elde edebiliyor. Avengers balina avı phishing kiti 7$ gibi düşük bir fiyattan başlıyor. Bunun gibi paketler, çok hassas bilgileri paylaşmaları için kandırılan CFO’lar ve CEO’lar gibi üst düzey yöneticileri hedef aldığı biliniyor. Sahte hesaplar aracılığıyla transferler de yaygın örnekler arasında yer alıyor.

Karanlık ağda hassas bilgiler çerez fiyatına satılıyor

Diğer yandan parola kırmak için tasarlanmış araçlar 10$ gibi düşük bir ücret karşılığında satılabiliyor. 10 dolarlık fiyat aralığına uygun olarak, dark web’de DDoS saldırı kitleri bulmak da mümkün. Bu paketler, ağların bombardımana tutularak aşırı trafik nedeniyle tüm kullanıcılar tarafından erişilemez hale gelmesini sağlayabiliyor.

HEDEF KİTLE DARK WEB KULLANICILARI 

Truva atları, solucanlar, virüsler ve diğer zararlı programları içeren ve oldukça tehlikeli olan bu kötü amaçlı yazılımları arayanlar, bu paketler dark web’de 12 dolar gibi düşük bir fiyata mevcut olduğundan bulabiliyor. Kötü amaçlı yazılım paketlerinin 2021 sürümünü arayanları ise 21 dolar gibi bir miktar daha yüksek bir ücret bekliyor.

Temel fidye yazılımı paketleri de saldırganların bütçesini sarsacak bir kalem olmaktan uzak. Temel fidye yazılımı paketlerinin fiyatları 15 dolar ile 76 dolar arasında değişebiliyor. Anahtar kelime aramaları çoğu tartışmayı içeren kitler, dark web’in en popüler kitleri olarak kabul ediliyor.

Bu rakamlar, siber saldırıların artık herkes tarafından, her yerde kolaylıkla gerçekleştirilebileceğinin açık bir kanıtı olarak görülüyor. Hedef kitle olarak ise dark web’e girmeye ve kendi siber saldırılarını gerçekleştirmeye cüret edenler seçilmiş durumda.

Siber Saldırılar

ABD’yi sarsan SolarWinds saldırısının faili bulundu: Zayıf parola belirleyen stajyer

Yorum yapın

Siber güvenlik araştırmacıları, “tedarik zinciri saldırısı” olarak bilinen SolarWinds siber saldırısını araştırmaya devam ederken, Teksas merkezli yazılım firmasının üst düzey yöneticileri, saldırının zayıf parola kullanan bir stajyerden kaynaklandığını duyurdu.

“solarwinds123” şeklindeki söz konusu parolanın yanlış yapılandırmanın ortaya çıkarıldığı 22 Kasım 2019 tarihinden önce 17 Haziran 2018’den bu yana bir GitHub deposu aracılığıyla kamuya açık olduğuna inanılıyordu. Ancak geçtiğimiz cuma günü Senato’da düzenlenen oturumda SolarWinds’in CEO’su Sudhakar Ramakrishna, parolanın 2017’nin başından beri kullanımda olduğunu ifade etti.

Saldırı ile ilgili ön soruşturma, casusluk kampanyasının arkasındaki saldırganların, ‘Sunburst’ kötü amaçlı yazılımı yüklemek için Ekim 2019’da SolarWinds Orion platformunun yazılım oluşturma ve kod imzalama alt yapısını ele geçirmeyi başardığını ortaya çıkarırken, Crowdstrike’ın saldırıya müdahale ekipleri, 4 Eylül 2019’da SolarWinds ağına ilk sızmayı tespit eden revize edilmiş bir zaman çizelgesine işaret etti.

EN AZ 9 DEVLET KURULUŞU HEDEF ALINDI

Bugüne kadar, en az dokuz devlet kurumu ve 100 özel şirkete, müşterilerin gizliliğini ihlal etme amacıyla düzenlenen saldırı, Orion Software Platform’a kötü amaçlı yazılımın yüklenmesini içeren gelmiş geçmiş en sofistike ve iyi planlanmış operasyonlardan biri olarak tanımlanıyor.

ABD Temsilciler Meclisi’nin Kaliforniya Temsilcisi Katie Porter, “Çok fazla Youtube izlemelerini engellemek için çocuklarımın tabletlerine koyduğum parola bile ‘solarwinds123’ den daha güçlü” şeklinde açıklama yaptı.

ABD’nin IŞİD’i hackediği operasyon: Teknolojiyle Psikolojik Harbin birleşimi: Glowing Symphony

 

PAROLA POLİTİKALARIMIZI İHLAL ETTİLER

Ramakrishna, Porter’a cevaben yaptığı açıklamada “Bunun, 2017’de bir stajyerin güvenlik ekibimize bildirilir bildirilmez kaldırılan ve sunucularından birinde kullandığı bir parola olduğuna inanıyorum” dedi. Eski CEO Kevin Thompson da Ramakrishna’nın ifadesini tekrarladı.  Thompson,” Bir stajyerin yaptığı hatayla ilgili bir sorun yaşadık. Parola politikalarımızı ihlal ettiler ve bu parolayı kendi özel GitHub hesabına gönderdiler ” dedi. 

Güvenlik araştırmacısı Vinoth Kumar, geçtiğimiz aralık ayında şirketi halka açık bir GitHub deposu konusunda uyarmıştı. Söz konusu GitHub deposu şirketin indirme web sitesinin FTP kimlik bilgilerini sızdırıyordu. Bu da bir hackera  zararlı bir çalıştırılabilir dosya yükleme ve bunu bir SolarWinds güncellemesine ekleme imkanı veriyor. Saldırının açığa çıkarılmasını takip eden haftalarda, SolarWinds’e Ocak 2021’de toplu dava açıldı. Davanın gerekçesi şirketin 2020’nin ortalarından bu yana, SolarWinds Orion takip ürünlerinin hackerlara bu ürünlerin çalıştığı sunucuyu ele geçirmesine izin veren bir güvenlik açığına sahip olması ve “SolarWinds güncelleme sunucusunun solarwinds123 gibi kolayca erişilebilen bir parolaya sahip olması idi. 

NASA VE FAA DA HEDEF ALINDI

Operasyonun arkasındaki tehdit aktörünün hedeflerini dikkatli bir şekilde seçmiş olsa da SolarWinds’in 18 bine yakın müşterisinin truva atı haline getirilmiş Orion güncellemesi aldığına inanılıyor. Saldırganların Microsoft, FireEye, Malwarebytes, CrowdStrike ve Mimecast ağlarına sızmanın yanı sıra, Solarwinds’i Ulusal Havacılık ve Uzay Dairesi (NASA) ve Federal Havacılık Dairesi’ne (FAA) sızmak için bir atlama noktası olarak kullandığı belirtiliyor. Gizliliği ihlal edilen diğer yedi kurumun Adalet, Ticaret, İç Güvenlik, Enerji, Hazine bakanlıkları ile Ulusal Sağlık Enstitüleri olduğu açıklandı.

Microsoft Başkanı Brad Smith, senatoda düzenlenen oturumda yaptığı açıklamada, ek olarak, diğer ülkelerdeki kamu ve özel sektör mağdurlarını belirlediklerini ve bulut göçünün Amerika Birleşik Devletleri’nde olduğu kadar gelişmiş olmadığı dünyanın diğer bölgelerinde henüz tespit edilmemiş başka mağdurların olduğuna inandıklarını ifade etti. 

Rus orijinli olduğu iddia edilen tehdit grubu, UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) ve Dark Halo (Volexity) dahil olmak üzere farklı takma adlar altındatakip ediliyor.

Ulusal Güvenlik Danışmanı Yardımcısı Anne Neuberger, geçen ay Beyaz Saray’da yaptığı açıklamada, hackerların içeriden bir saldırı başlattıklarını bunun da ABD hükümetinin faaliyetlerini gözlemlemesini zorlaştırdığını söylemişti.  “Bu, izlerini gizlemek için elinden gelenin en iyisini yapan sofistike bir aktör. Bu saldırıyı planlamanın ve gerçekleştirmenin aylar sürdüğünü düşünüyoruz.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

Zararlı Yazılım

Hackerlardan ‘Trump’lı sahte video tuzağı

Yorum yapın

Siber güvenlik araştırmacıları, ABD Başkanı Donald Trump’a ait sahte bir videoyu içerdiği iddia edilen ve Uzaktan Erişim Truva Atı (RAT) yerleştirerek gerçekleştirilen yeni bir malspam (zararlı spam) saldırısı ortaya çıkardı.

Siber saldırı,“GOOD Loan Offer!!” (Kredide İyi fırsat) başlığı ve “TRUMP_SEX_SCANDAL_VIDEO.jar” adlı bir Java arşiv (JAR) dosyasıyla birlikte gelen e-postaların indirilmesi sonucunda sisteme Qua veya Quaverse RAT (QRAT) yüklenmesi ile gerçekleşiyor. Bir başka deyişle, gelen dosyaya tıklamak, Qnode Uzaktan Erişim Truva Atı’nın (RAT) Windows işletim sistemli bilgisayarınıza indirilmesine ve bir hackerın bilgisayarınıza ve tüm dosyalarınıza uzaktan erişim sağlamasına yol açabiliyor.

HER ŞEY SPAM MAIL’ E TIKLAMAKLA BAŞLIYOR 

Söz konusu saldırı, Trustwave araştırmacılarının Ağustos ayında keşfettiği Windows tabanlı QRAT indiricisinin bir çeşidi. Bulaşma zinciri, her ikisi de Allatori Java engelleyici kullanılarak şifrelenen bir JAR dosyası (“Spec # 0034.jar”) alan, kötü amaçlı bir zip dosyasına yönlendiren gömülü bir ek ya da link içeren bir spam mesajıyla başlamakta.

Bu birinci kademe indirici, Node.Js platformunu sisteme kuruyor ve ardından kalıcılığı sağlamaktan ve Qnode RAT dosyasını (“qnode-win32-ia32.”) saldırgan tarafından kontrol edilen bir sunucudan çekmekten ve çalıştırmaktan sorumlu “wizard.js” adlı ikinci kademe indiriciyi kuruyor ve çalıştırıyor.  

https://siberbulten.com/dijitalguvenlik/sahte-chrome-guncellemesiyle-binlerce-kisiye-saldirdilar/

 

VAROLAN TRUVA ATINA POP-UP EKLENDİ 

QRAT, sistem bilgilerini alma, dosya işlemlerini gerçekleştirme ve Google Chrome, Firefox, Thunderbird ve Microsoft Outlook gibi uygulamalardan kimlik bilgileri alma gibi çeşitli özelliklere sahip tipik bir uzaktan erişim Truva atı. Bu son saldırıda değişen şey ise kurbana çalıştırılan JAR dosyasının sızma testi için kullanılan bir uzaktan erişim yazılımı olduğunu bildiren yeni bir pop-up (açılır pencere) eklenmesi. Trustwave’in güvenlik araştırmacısı Diana Lopera’ya göre bu açılır pencere uygulamayı meşru gösterme veya sorumluluğu orijinal yazılımı geliştirenlerden alma girişimi olabilir. 

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Çin, Dijital Güvenlik, Siber Güvenlik

Çinli hackerlar Katolik gazeteci taklidi yaparak Vatikan hakkında bilgi toplamış

Yorum yapın

Vatikan ve Pekin arasında diplomasi yürüten kuruluşları hedef alan bir hackleme kampanyasının açığa çıkmasından aylar sonra, bilgisayar korsanlarının operasyonlarına devam ettiği ortaya çıktı.

Recorded Future adlı güvenlik şirketinden araştırmacılar Mustang Panda adlı bir grupla bağlantılı hackerları, ilk olarak temmuz ayında gündeme getirmiş, söz konusu grubu tarihsel olarak hassas bir konu olan Çin’deki Katolik Kilisesi’nin operasyonlarıyla ilgili müzakereleri yürüten hedeflere karşı casusluk yaptıkları iddiası ile suçlamıştı.

Recorded Future, hackerlık hakkındaki araştırmasını yayınladıktan sonra, saldırganlar operasyonlarını yalnızca iki hafta ara vermek suretiyle aynı araçlarla devam ettirmişlerdi.

FARK EDİLMEMEK İÇİN SALDIRI ARAÇLARINI GÜNCELLEDİLER

Son yayınlanan Proofpoint araştırmasına göre, bu kez saldırganlar fark edilmemek için kötü amaçlı yazılım yerleştirme tekniklerinde güncellemeye gitti. Proofpoint’e göre hackerlar bu yılın başlarında, “RedDelta PlugX” adlı bir PlugX varyantı olan uzaktan erişim truva atını kullanarak diplomatik varlıkları hedef alırken, şimdi hedeflerinin peşinden gitmek için bir programlama dili olan Golang’de yazılmış yeni bir tür kötü amaçlı yazılım kullanıyorlar.

Son hacker saldırısı, Katolik Asya Haberleri Birliği’nden gazetecileri taklit ettiği anlaşılan aldatıcı e-posta başlıklarını içeriyor. Saldırı ayrıca Vatikan ile Çin Komünist Partisi arasında yakın zamanda yenilenen geçici anlaşmaya atıfta bulunan sosyal mühendislik yemlerinin kullanımını içeriyor.

Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var

Proofpoint araştırmacıları, son değişikliklerin “RedDelta” veya “TA416” olarak da bilinen Çin bağlantılı aktörleri izlemeyi kısmen daha zor hale getirirken araştırmacıları tamamen karanlıkta bırakmadığını söyledi.

Araştırmacılar konuyla ilgili bir blog yazısında şu değerlendirmelere yer verdi: “Söz konusu grup, güvenlik araştırmacıları tarafından deşifre edildikçe, saldırı araçlarını değiştirme yoluna gidiyorlar. Böylece haklarında yapılan analizleri boşa çıkartıyorlar ve tespit edilmelerinin önüne geçmiş oluyorlar. Veri yüklerindeki temel değişiklikler, operasyonları TA416 ile ilişkilendirme zorluğunu büyük ölçüde artırmasa da virüs bulaştırma zincirinden bağımsız kötü amaçlı yazılım bileşenlerinin otomatik olarak algılanmasını araştırmacılar için daha zor hale getiriyor.”

HEDEFTE ÇİN-VATİKAN DİPLOMATİK İLİŞKİLERİ VAR

En son bulgular, hackerların Vatikan ile Çin Komünist Partisi arasında diplomatik faaliyetlerde bulunan kuruluşlar hakkında istihbarat toplama niyetinde olduklarının kanıtı. Proofpoint’e göre, saldırıların yeniden başlatılması, Vatikan’ın Pekin ile Çin’deki piskoposların atanması konusunda anlaşmayı uzattığını resmi olarak açıklamasından birkaç gün önce gerçekleşti. Pekin daha önce eylül ayında Çin’deki Katolik Kilisesi’nin statüsü konusunda bir uzlaşmaya varıldığını duyurmuş olsa da Vatikan 1951’de Çin ile diplomatik ilişkileri kestiğinden beri Çin’deki Katoliklik hakkındaki bilgiler Çin hükümeti tarafından uzun yıllardır büyük ilgi görüyordu.

MYANMAR VE AFRİKA DA SALDIRGANLARIN HEDEFİNDE

Bilgisayar korsanları, son zamanlarda Myanmar’daki kuruluşları ve Afrika’da diplomasi yürüten kuruluşları da hedef alıyordu. Son bulgular bilgisayar korsanlarının son aylarda görev değişiklikleri yapmış olabileceğini öne sürüyor. Recorded Future araştırmasına göre hackerlar, son aylarda Hindistan ve Endonezya’daki devlet kuruluşlarının yanı sıra Hong Kong ve Avustralya’daki kimliği belirsiz kuruluşları da hedef alıyor.

Proofpoint, kötü amaçlı dosyaların ilk olarak nasıl yerleştirildiğine dair bir bilgiye sahip değil, ancak hacker grubu, geçmişte, PlugX adlı kötü amaçlı yazılımları dağıtabilen spam içerikli Google Drive veya Dropbox URL’lerine sahip kimlik avı e-postalarını kullandığı bilinen bir durum.

Siber Bülten abone listesine kaydolmak için formu doldurunuz