Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

ABD Siber Komutanlığı’ndan CVE-2017-11774 hakkında uyarı

0

Dün akşam saatlerinde, ABD Siber Komutanlığı (USCYBERCOM) tarafından yönetilen hesaptan aşağıdaki tweet yayımlandı.

USCYBERCOM, CVE-2017-11774 kodlu Outlook zafiyetinin etkin olarak kötü amaçlı faaliyetlerde kullanıldığını keşfetti ve güncelleme yapılmasını tavsiye etti. Bilgiye göre bu zafiyette kullanılan zararlı yazılım şu anda bu adresten yayılıyor:

  • hxxps://customermgmt.net/page/macrocosm

Bu uyarıdan anladığımız kadarıyla birkaç grup, Outlook ‘un bu zafiyetinden faydalanarak hükumet ağlarına sızmayı amaçlayan faaliyetlere başladı.

Sorun ise, Microsoft Outlook’un güvenlik özelliğini atlamaya yarayan bir güvenlik açığından kaynaklanıyor. Microsoft’a göre, Outlook, bellekteki nesneleri düzgün işleyemediğinde, saldırganın rastgele-keyfi komutlar çalıştırabilmesine olanak sağlıyor.

Microsoft tarafından yayınlanan güvenlik tavsiyesinde, Bir dosya paylaşımı saldırı senaryosunda, saldırgan bu güvenlik açığından faydalanacak özelliklere sahip bir belge dosyası hazırlayabilir ve kullanıcıları belge dosyasını açmaya veya belge ile etkileşime girmeye ikna edebilir. denildi.

CVE-2017-11774 ilk olarak 2017 yılında SensePost araştırmacıları tarafından rapor edildi ve Ekim 2017 Microsoft Salı güncellemeleri ile bu hata giderilmişti.

Chronicle güvenlik uzmanları, saldırılarda yer alan zararlı yazılım örneklerini, Shamoon‘u geliştiren, İran bağlantılı APT33 grubuna bağlıyor.

APT33 (Elfin) grubu, 2013 yılında başladığı saldırılarına 2016 yılının ortalarına kadar petrokimya endüstrilerini, enerji şirketlerini ve fabrikaları hedef alarak devam etti. Hedeflerin çoğu Orta Doğu‘da ve diğerleri ise ABD, Güney Kore ve Avrupa‘daydı.

Geçtiğimiz Mart ayında, Symantec, Suudi Arabistan ve Amerika Birleşik Devletleri‘ndeki kuruluşları hedef alan APT33 grubunun faaliyetlerini ayrıntılarıyla birlikte bir rapor olarak yayımlamıştı. Recorded Future‘deki uzmanlar da geçtiğimiz günlerde buna benzer bir şekilde, İran‘la bağlantılı olan siber espiyonaj gruplarını ayrıntılandıran bir raporu yayımladılar.

Chronicle İstihbarat Başkanı Brandon Levene, bu örnekleri APT33 ve Shamoon2‘ye bağladı ve şu açıklamalarda bulundu:

Cybercom tarafından yüklenen uygulamaların, 2017’nin Ocak ayı başlarında gerçekleşen Shamoon2 saldırılarıyla ilgili olduğu görülüyor. Bu çalıştırılabilir dosyalar, PUPY RAT‘ı Powershell üzerinden, diğer saldırılardaki gibi kullanarak sisteme yüklüyorlar. Ek olarak, Cybercom, manipülasyon ve sömürülen web sunucularının kullanılması için 3 tane de araç yükledi. Her bir araç farklı amaçlar için kullanılıyor, ancak saldırganın kullandığı sunucular üzerinden onlarla etkileşime girme konusunda açık bir şekilde yeteneğe sahipler. CVE-2017-11774’ün üzerindeki gözlemlerimiz doğruysa, bu Shamoon saldırganlarının hedeflerini nasıl bir tehlikeye soktuklarına ışık tutmuş bulunuyoruz. Bu spekülasyonları yaratan olayların phishing saldırılarıyla ilgili olduğu ileri sürülüyor, ancak ilk vektörler hakkında çok fazla bilgi yayımlanmadı.”

CVE-2017-11774, 2018’den beri İran’a bağlı tehdit aktörleri tarafından kullanılıyor ve yapılan saldırılar APT33 siber espiyonaj grubuna atfediliyor.

İlk olarak Aralık ayı sonunda, uzmanlar, web sunucucuları hedef alan ve kullanıcıları etkilemeye başlayan, CVE-2017-11774’ten yararlanan tehdit aktörlerini gözlemledi.

Aralık ayında FireEye tarafından yayımlanan bir raporda,Karşı taraf mail giriş bilgilerini ele geçirdikten sonra, herkes tarafından erişilebilen Outlook Web Access’e (OWA) veya çift faktörlü kimlik doğrulaması yoksa Office 365’e erişim sağlayabiliyor. Bilgileri çalmak amacıyla, Exchange’in özellikleri kullanılarak [CVE-2017-11774] sistemleri exploit etmek için RULER gibi bir araç kullanılıyor.

SensePost’un RULER aracı, aynı HTTP protokolü üzerinden bir mesajlaşma uygulaması programlama arayüzü (MAPI) veya uzaktan yordam çağrısı (RPC) aracılığıyla Exchange sunucuları ile etkileşimde bulunmak için tasarlanmış bir araçtır. denildi.

Aynı dönemde yani Aralık 2018‘de Shamoon kötü amaçlı yazılımının yeni bir çeşidi olan DistTrack İtalya üzerindeki bir lokasyondan VirusTotal‘a yüklendi. İkinci Shamoon aracı Hollanda‘dan 13 Aralık‘ta ve üçüncü Shamoon örneği ise 23 Aralık‘ta Fransa‘dan VirusTotal’a yüklendi.

Levene‘ye göre, CVE-2017-11774’ün gerçek saldırılarda kullanılması bizlere APT33/Shamoon saldırılarının arkasındaki zincirin bir göstergesi de olabilir.

Haziran ayının sonunda, ABD DHS CISA ajansı, İran‘dan gelebilecek zararlı yazılımlarla birlikte password spraying, phishing ve kimlik hırsızlığı yapılabileceği konusunda uyarmıştı.

Önümüze çıkan bu saldırılar ise ABD endüstrilerini ve devlet kurumlarını hedef alıyor.

Anlaşılacağı üzere önem gösterilmesi gereken uyarılarla karşı karşıyayız. İran ise saldırılara tüm şiddetiyle devam edecek gibi görünüyor.

 

Konuyla ilgili bu yazılar da ilginizi çekebilir:

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.