OzzTech - İranlı Bilgisayar Korsanları Log4j Güvenlik Açığını Kullanıyor

İranlı Bilgisayar Korsanları Log4j Güvenlik Açığını Kullanıyor

İranlı Bilgisayar Korsanları Log4j Güvenlik Açığını Kullanıyor

Log4j kusurunun tarandığı İran devleti tarafından destekli tehdit aktörlerinin, kamuya açık uygulamalarında shell komutunu çalıştırdığı ve bu açıktan yararlanarak takip için "CharmPower" adlı şimdiye kadar belgelenmemiş bir PowerShell arka kapısı dağıtmaya çalıştığı gözlemlendi.

Araştırmacılar raporlarında, "tehdit aktörlerinin saldırısı istismar için açık kaynaklı bir araç kullandıkları ve operasyonlarını sistemlerin güncellenmesinden önceki altyapıya dayandırdıkları için açıkça aceleye geldi, bu da tehdit aktörlerinin tespit edilmesini ve bulunmasını kolaylaştırdı" dedi.

İsrailli bir siber güvenlik şirketi bu saldırıyı APT35 olarak bilinen aynı zamanda Charming Kitten, Phosphorus ve TA453 kod adlarını kullanan bir grupla eşleştirdi ve daha önce bu tehdit aktörleri tarafından kullanışmış olan altyapı araç setlerine atıfta bulundu.

Log4Shell namı değer CVE-2021-44228 yani popüler adı log4j başarıyla kullanılırsa güvenliği ihlal edilmiş sistemlerde rastgele kodların uzaktan yürütülmesine yol açabilecek kritik bir güvenlik açığıdır.

Log4j kütüphanesinin yaygınlaşmasıyla istismar olaylarının kolaylığı, devam eden günlerde yapılan açıklamalarla baş döndürücü bir dizi saldırı gerçekleştirme fırsatını yakalayan tehdit aktörlerinin büyük oranda durdurmuş olsa da, geniş bir hedef havuzu yaratmıştır.

Microsoft daha önce APT35'in Log4j için istismar edilme ve bunu değiştirme çabalarına dikkat çekmeye çalışsa da, en son bulgular bilgisayar korsanlarının sonraki aşamalar için modüllerini alabilen ve verileri bir komut sayesinde kontrole aktarabilen PowerShell arka kapısını dağıtmak için Log4j kusurunu operasyonel hale getirdiğini göstermiştir.

İranlı Bilgisayar Korsanları Log4j Güvenlik Açığını Kullanıyor

Log4Shell açığı için CharmPower'ın modüllerinde sistem bilgilerini toplama, kurulmuş olan uygulamaları listeleme, ekran görüntülerini alma, çalışmakta olan süreçleri numaralandırma, C2 sunucusundan gönderilmiş olan komutları yürütme ve bu bileşenlerin loglarını temizleme özelliklerini temizleme özellikleri de dahil olmak üzere çeşitli istihbarat toplama işlevlerini desteklemektedir.

Yapılan açıklama, Microsoft ve NHS'nin, VMware Horizon çalıştırmakta olan internete yönelik sistemlerin web kabuklarını ve NightSky adlı bir fidye yazılımını dağıtmayı hedeflediği konusunda uyardığı sırada gelmiştir.

Geçmişte LockFile, AtomSilo ve Rook fidye yazılımlarını da dağıtmıştır.

Microsoft, Çin dışında faaliyet göstermekte olan başka bir tehdit aktörü grubu olan Hafnium'un da hedeflerini genişletmek için sanallaştırma teknolojilerine saldırmak için log4j güvenlik açığını kullandığını gözlemledi.

Araştırmacılar, "Log4j güvenlik açığından yararlanma ve bunları kullanma konusunda CharmPower arka kapısının modüllerine bakılırsa, tehdit aktörleri vites değiştirebiliyorlar ve saldırılarının her aşaması için ihtiyaçlarına uygun farklı uygulamalar geliştirebiliyorlar" dedi.

Bu makalemizi beğendiyseniz sizleri Neden FortiGate’i OzzTech’den Almalısınız? adlı makalemize bekleriz: https://www.ozztech.net/siber-guvenlik/neden-fortigatei-ozztechden-almalisiniz/


İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.