İranlı Bilgisayar Korsanları Log4j Güvenlik Açığını Kullanıyor

İranlı Bilgisayar Korsanları Log4j Güvenlik Açığını Kullanıyor

Log4j kusurunun tarandığı İran devleti tarafından destekli tehdit aktörlerinin, kamuya açık uygulamalarında shell komutunu çalıştırdığı ve bu açıktan yararlanarak takip için “CharmPower” adlı şimdiye kadar belgelenmemiş bir PowerShell arka kapısı dağıtmaya çalıştığı gözlemlendi.

Araştırmacılar raporlarında, “tehdit aktörlerinin saldırısı istismar için açık kaynaklı bir araç kullandıkları ve operasyonlarını sistemlerin güncellenmesinden önceki altyapıya dayandırdıkları için açıkça aceleye geldi, bu da tehdit aktörlerinin tespit edilmesini ve bulunmasını kolaylaştırdı” dedi.

İsrailli bir siber güvenlik şirketi bu saldırıyı APT35 olarak bilinen aynı zamanda Charming Kitten, Phosphorus ve TA453 kod adlarını kullanan bir grupla eşleştirdi ve daha önce bu tehdit aktörleri tarafından kullanışmış olan altyapı araç setlerine atıfta bulundu.

Log4Shell namı değer CVE-2021-44228 yani popüler adı log4j başarıyla kullanılırsa güvenliği ihlal edilmiş sistemlerde rastgele kodların uzaktan yürütülmesine yol açabilecek kritik bir güvenlik açığıdır.

Log4j kütüphanesinin yaygınlaşmasıyla istismar olaylarının kolaylığı, devam eden günlerde yapılan açıklamalarla baş döndürücü bir dizi saldırı gerçekleştirme fırsatını yakalayan tehdit aktörlerinin büyük oranda durdurmuş olsa da, geniş bir hedef havuzu yaratmıştır.

Microsoft daha önce APT35’in Log4j için istismar edilme ve bunu değiştirme çabalarına dikkat çekmeye çalışsa da, en son bulgular bilgisayar korsanlarının sonraki aşamalar için modüllerini alabilen ve verileri bir komut sayesinde kontrole aktarabilen PowerShell arka kapısını dağıtmak için Log4j kusurunu operasyonel hale getirdiğini göstermiştir.

İranlı Bilgisayar Korsanları Log4j Güvenlik Açığını Kullanıyor

Log4Shell açığı için CharmPower’ın modüllerinde sistem bilgilerini toplama, kurulmuş olan uygulamaları listeleme, ekran görüntülerini alma, çalışmakta olan süreçleri numaralandırma, C2 sunucusundan gönderilmiş olan komutları yürütme ve bu bileşenlerin loglarını temizleme özelliklerini temizleme özellikleri de dahil olmak üzere çeşitli istihbarat toplama işlevlerini desteklemektedir.

Yapılan açıklama, Microsoft ve NHS’nin, VMware Horizon çalıştırmakta olan internete yönelik sistemlerin web kabuklarını ve NightSky adlı bir fidye yazılımını dağıtmayı hedeflediği konusunda uyardığı sırada gelmiştir.

Geçmişte LockFile, AtomSilo ve Rook fidye yazılımlarını da dağıtmıştır.

Microsoft, Çin dışında faaliyet göstermekte olan başka bir tehdit aktörü grubu olan Hafnium’un da hedeflerini genişletmek için sanallaştırma teknolojilerine saldırmak için log4j güvenlik açığını kullandığını gözlemledi.

Araştırmacılar, “Log4j güvenlik açığından yararlanma ve bunları kullanma konusunda CharmPower arka kapısının modüllerine bakılırsa, tehdit aktörleri vites değiştirebiliyorlar ve saldırılarının her aşaması için ihtiyaçlarına uygun farklı uygulamalar geliştirebiliyorlar” dedi.

Bu makalemizi beğendiyseniz sizleri Neden FortiGate’i OzzTech’den Almalısınız? adlı makalemize bekleriz: https://www.ozztech.net/siber-guvenlik/neden-fortigatei-ozztechden-almalisiniz/

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »