Kaspersky, Microsoft Windows ve Chrome tarayıcısında sıfır gün açıkları tespit etti

İSTANBUL (AA) – Kaspersky uzmanları, nisan ayında daha önce keşfedilmemiş Google Chrome ve Microsoft Windows sıfır gün açıklarını kullanarak çok sayıda şirketi hedefleyen bir saldırı dizisi keşfetti.

Şirketten yapılan açıklamaya göre, son aylarda sıfır gün açıklarını kullanan yeni bir gelişmiş tehdit dalgası sahada öne çıktı. Nisan ayının ortalarında Kaspersky uzmanları, saldırganların hedeflenen ağları gizlice ele geçirmesine olanak tanıyan, çok sayıda şirkete yönelik yeni bir yüksek düzeyde hedefli açıklardan yararlanan tehdit dalgası keşfetti. Kaspersky, bu saldırılarla bilinen tehdit aktörleri arasında henüz bir bağlantı bulamadı. Bu nedenle bu yeni oyuncuya "PuzzleMaker" adı verildi.

Saldırılar, Chrome tarayıcısı üzerinden gerçekleştirildi ve uzaktan kod yürütmeye izin veren bir açıktan yararlanıldı. Kaspersky araştırmacıları, uzaktan yürütme açığının kodunu alamamış olsa da zaman çizelgesi ve kullanım aktiviteleri saldırganların şu anda yamanmış olan CVE-2021-21224 güvenlik açığını kullandığını gösteriyor. Bu güvenlik açığı, Chrome ve Chromium web tarayıcıları tarafından kullanılan bir JavaScript motoru olan V8'deki Tür Uyuşmazlığı hatasıyla ilgili ve saldırganların Chrome derleyici sürecinden yararlanmalarına olanak tanıyor.

Kaspersky uzmanları, Microsoft Windows işletim sistemi çekirdeğindeki iki farklı güvenlik açığından yararlanan ikinci istismarı bulup analiz etmeyi başardı. Hassas çekirdek bilgilerini sızdıran bu güvenlik açığı, "CVE-2021-31955" olarak işaretlendi. Bu açık ilk olarak Windows Vista ile tanıtılan ve yaygın olarak kullanılan uygulamaları belleğe önceden yükleyerek yazılım yükleme sürelerini azaltmayı amaçlayan bir özellik olan SuperFetch ile bağlantılı durumda bulunuyor.

Saldırganların çekirdekten yararlanmasına ve bilgisayara erişim elde etmesine olanak tanıyan ikinci güvenlik açığı "CVE-2021-31956" adıyla biliniyor ve yığın tabanlı arabellek taşmasına karşılık geliyor. Saldırganlar, rastgele bellek okuma/yazma ilkeleri oluşturmak ve sistem ayrıcalıklarıyla kötü amaçlı yazılım modüllerini yürütmek için Windows Bildirim Tesisi (WNF) ile birlikte CVE-2021-31956 güvenlik açığını kullanıyor.

Saldırganlar, hedeflenen sisteme yerleşmek için hem Chrome hem de Windows açıklarından yararlandıktan sonra aşamalı bir modül yardımıyla uzak sunucudan daha karmaşık bir kötü amaçlı yazılımı indirip çalıştırıyor. Daha sonra Microsoft Windows işletim sistemine ait meşru dosyalar gibi görünen iki çalıştırılabilir dosya yükleniyor. Bu dosyalardan ikincisi dosyaları indirip yükleyebilen, görevler oluşturabilen, belirli süre boyunca uyuyabilen ve virüs bulaşmış sistemden kendisini silebilen bir uzak kabuk modülüne karşılık geliyor.

Microsoft, her iki Windows güvenlik açığı için yamaları yayınladı.

– "Diğer tehdit aktörleri tarafından saldırılarda kullanıldığını görmemiz mümkün"

Açıklamada görüşlerine yer verilen Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Boris Larin, "Bu saldırılar yüksek oranda hedeflenmiş olsa da onları henüz bilinen herhangi bir tehdit aktörüne bağlamadık. Bu nedenle arkasındaki aktöre PuzzleMaker adını verdik. Bu grubun gelecekteki faaliyetlerini veya yeni bilgiler için güvenlik ortamını yakından izleyeceğiz. Genel olarak son zamanlarda, sıfır gün açıklarından kaynaklanan yüksek profilli tehdit faaliyeti dalgası görüyoruz. Sıfır gün açıkları hedefe bulaşmak için en etkili yöntem olmaya devam ediyor. Ayrıca, söz konusu güvenlik açıkları artık bilinir hale geldiğinden diğer tehdit aktörleri tarafından saldırılarda kullanıldığını görmemiz mümkün. Bu nedenle kullanıcıların Microsoft'un yayınladığı en son yamaları mümkün olan en kısa sürede yüklemeleri gerekiyor." ifadelerini kullandı.

Kaspersky ürünleri, söz konusu güvenlik açıklarına ve ilgili kötü amaçlı yazılım modüllerine yönelik istismarı algılıyor ve bunlara karşı koruma sağlıyor.

– Kaspersky'den öneriler

Kaspersky uzmanları, kuruluşu söz konusu güvenlik açıklarından yararlanan saldırılardan korumak için şunları öneriyor:

"Chrome tarayıcınızı ve Microsoft Windows'u mümkün olan en kısa sürede güncelleyin ve bunu düzenli olarak yapın. Kaspersky Endpoint Security for Business gibi kötüye kullanımı önleme, davranış algılama ve kötü amaçlı eylemleri geri alabilen bir düzeltme motoruyla desteklenen güvenilir bir uç nokta güvenlik çözümü kullanın. Tehdit keşfi ve tespiti, soruşturma ve olayların zamanında düzeltilmesi için yetenekler sunan anti-APT ve EDR çözümleri kurun. SOC ekibinize en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle becerilerini düzenli olarak güncelleyin. Bunların tümü Kaspersky Expert Security framework dahilinde mevcuttur. Uygun uç nokta korumasının yanı sıra özel hizmetler yüksek profilli saldırılara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar hedeflerine ulaşmadan önce saldırıları erken aşamalarında belirlemenize ve durdurmanıza yardımcı olur."

Share on facebook
Facebook
Share on twitter
Twitter

Daha Fazla Haber

İSTANBUL (AA) – Kaspersky uzmanları ilk olarak Güneydoğu Asya'da tespit edilen nadir ve geniş ölçekli bir gelişmiş kalıcı tehdit (APT) kampanyasını ortaya çıkardı.

Kaspersky'den yapılan açıklamaya göre, Kaspersky, bazıları devlet kurumlarından olan yaklaşık bin 500 kurban tespit etti. İlk bulaşma, kötü amaçlı bir Word belgesi içeren hedef odaklı kimlik avı e-postaları yoluyla gerçekleşiyor.

Gelişmiş kalıcı tehdit kampanyaları, doğaları gereği yüksek oranda hedefli olarak gerçekleştiriliyor. Çoğu zaman cerrahi bir hassasiyetle yapılıyor ve yalnızca birkaç düzine kullanıcı hedef alınıyor. Kaspersky son zamanlarda nadiren kullanılan, ancak yine de film benzeri saldırı vektörüne sahip nadir, yaygın bir tehdit kampanyasını ortaya çıkardı.

Tehdit sisteme indirildikten sonra kötü amaçlı yazılım, çıkarılabilir USB sürücüler aracılığıyla yayılarak diğer ana bilgisayarlara bulaşmaya çalışıyor. Bir sürücü bulunursa, kötü amaçlı yazılım sürücüde gizli dizinler oluşturuyor ve kötü amaçlı yürütülebilir dosyalarla birlikte kurbanın tüm dosyalarını taşıyor.

LuminousMoth olarak adlandırılan bu faaliyet, Ekim 2020'den bu yana devlet kurumlarına karşı siber casusluk saldırıları düzenliyor. Saldırganlar başlangıçta Myanmar'a odaklanırken, zamanla odağını Filipinler'e kaydırdı. Sisteme giriş noktası genellikle Dropbox indirme bağlantısına sahip hedef odaklı bir kimlik avı e-postası oluyor. Bağlantı tıklandığında, kötü amaçlı yükü içeren Word belgesi kılığında bir RAR arşivi indiriliyor.

Açıklamada değerlendirmelerine yer verilen Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, "Bu yeni faaliyet kümesi, bir kez daha yıl boyunca tanık olduğumuz bir eğilime işaret ediyor. Çince konuşan tehdit aktörleri, yeni ve bilinmeyen kötü amaçlı yazılım implantlarını yeniden şekillendiriyor ve üretiyor." ifadesini kullandı.

GReAT Güvenlik Araştırmacısı Aseel Kayal da "Saldırı oldukça nadir görülen devasa bir ölçeğe sahip. Filipinler'de Myanmar'dan daha fazla saldırı görmemiz de ilginç. Bunun nedeni USB sürücülerin yayılma mekanizması olarak kullanılması olabilir veya Filipinler'de kullanıldığının henüz farkında olmadığımız başka bir enfeksiyon vektörü olabilir." dedi.

GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres ise "Geçtiğimiz yıl Çince konuşan tehdit aktörlerinin artan etkinliğini görüyoruz. Bu büyük olasılıkla LuminousMoth'un son saldırısı olmayacak. Ayrıca, grubun araç setini daha da geliştirmeye başlama olasılığı da yüksek. Gelecekteki gelişmeleri dikkatle izleyeceğiz." değerlendirmesinde bulundu.

LuminousMoth gibi gelişmiş tehdit kampanyalarından korunmak için Kaspersky uzmanları şunları öneriyor:

"Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığı için personelinize temel siber güvenlik hijyeni eğitimi verin.Ağlarınızın siber güvenlik denetimini gerçekleştirin. Çevrede veya ağ içinde keşfedilen zayıflıkları giderin.Anti-APT ve EDR çözümlerinin kullanılması, tehdit keşfi ve tespiti, soruşturma ve olayların zamanında düzeltilmesi yeteneklerini etkinleştirir.

SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle düzenli olarak becerilerini yükseltin. Yukarıdakilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.Uygun uç nokta korumasının yanı sıra, özel hizmetler yüksek profilli saldırılara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar hedeflerine ulaşmadan önce, saldırıları erken aşamalarında belirlemeye ve durdurmaya yardımcı olabilir."

İSTANBUL (AA) – Kaspersky, yeni tip koronavirüs (Kovid-19) salgınında kullanıcı sayısı artan çevrim içi flört uygulamalarına yönelik gizlilik önerilerini paylaştı.

Kaspersky açıklamasına göre, küresel salgın günlük faaliyetlerin çoğunu önemli ölçüde değiştirirken, flört de bundan etkilendi. Zorunlu izolasyon dönemlerinde insanlar flört uygulamalarına daha fazla zaman harcarken, bu tür uygulamaların kullanıcı sayısı her geçen gün artıyor.

Kaspersky'nin yaptığı araştırmaya göre, izolasyon ve kısıtlama çağında tüketiciler, flört ederken sağlıklarına ve kişisel güvenliklerine daha fazla dikkat ediyor. 10 kişiden dördü, yalnızca antikorları veya aşı sertifikası olan biriyle görüşmeyi tercih ediyor.

Tüketiciler, salgının başlangıcından beri yüz yüze görüşme konusunda daha endişe duyarken, flört eşleşmelerinin "hiçbiri çevrim dışı ortamda olmayan" kişilerin oranı yüzde 16'dan yüzde 35'e çıktı.

Potansiyel bir randevunun aşı durumunu görme talebi salgının bariz bir etkisi olarak öne çıkıyor. Ancak çevrim içi bir randevuyla şahsen tanışmak, sadece hastalanmanın ötesinde endişe yaratıyormuş gibi görünüyor. Genel olarak kullanıcıların yüzde 50'si bir randevuya ilk kez gittiklerinde kendilerini gergin veya güvensiz hissediyor.

Endişelerin bir kısmını hafifletmek için çevrim içi arkadaşlık sitelerini ve uygulamalarını kullananların çoğunluğu, buluşmayı kabul etmeden önce tarihle telefonla veya görüntülü olarak konuşmak istiyor.

Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Araştırmacısı David Jacoby, şunları kaydetti:

"Dünya genelindeki evde kalma alışkanlıkları ve kısıtlamalar göz önüne alındığında, çevrimiçi flört günümüzde insanların hayatında önemli bir rol oynuyor. Yine de çevrim içinden çevrim dışına geçiş, birçok insan için büyük bir sıçrama demek. Burada dikkate alınması gereken yalnızca sağlık durumu değil, aynı zamanda bir yabancıyla tanışmanın her zaman süregelen riskleri de var. Çevrim içi ve çevrim dışı randevulara güvenle devam etmek için potansiyel randevunuzla paylaştığınız verilere dikkat etmeniz önemlidir. Böylece birisiyle tanışmak konusunda fikrinizi değiştirirseniz her zaman durumun kontrolü sizde olur. Kendiniz hakkında paylaştığınız bilgileri ve bunların nasıl kullanılabileceğini bilirsiniz."

Kaspersky, çevrimiçi flört ederken kişisel verilerin gizli tutulmasına yönelik şunları önerdi:

"Fotoğraf paylaşırken adresinizi veya işvereninizi açık etmeyin. Bunun yerine kişisel verilerin veya başka kişilerin gösterilmediği gezilerden veya önemli noktalardan fotoğraflar kullanın.Telefon numaranızı veya diğer mesajlaşma uygulamalarına dair profillerinizi paylaşmak yerine flört platformlarının yerleşik mesajlaşma işlevini kullanın. Başka bir mesajlaşma platformuna geçmeye karar verirseniz, verilerinizi gizli ve güvende tutacak şekilde ayarlamayı unutmayın. Birden fazla cihazda gelişmiş koruma sunan etkili bir güvenlik çözümü kullanın. Kaspersky Security Cloud, uygulamalarınızı yönetmenize ve gerekli olmadığı durumlarda izinleri kaldırmanıza yardımcı olur."