top of page
background.jpg

August 2022

ABD ve İngiltere'den Çin destekli bilgisayar korsanlığına yaptırım!
ABD hükümeti, siber saldırılardan sorumlu olduğunu iddia ettiği bilgisayar korsanlarına yaptırım uyguladığını açıkladı.   Çin Devlet Güvenlik Bakanlığı'na bağlı "APT31" adlı siber casusluk grubuyla bağlantılı iki kişi ve bir paravan şirket de İngiltere tarafından yaptırıma tabi tutuldu. Amerika Birleşik Devletleri, Çin Devlet Güvenlik Bakanlığı’nı bir paravan olarak tanımladığını ve "çok sayıda kötü niyetli siber operasyon için bir örtü görevi gören" Wuhan Xiaoruizhi Bilim ve Teknoloji Şirketine yaptırım uyguladığını duyurdu. ABD hükümeti kamuoyuna yaptığı açıklamalarda ve açık iddianamelerde Çin'i on yılı aşkın bir süredir devam eden ayrıntılı, devlet destekli bir bilgisayar korsanlığı programı yürütmekle suçladı. Saldırılardan korunmak için ise bizim almamız gereken tedbirlerden bazıları; Sisteminizde her zaman en güncel güvenlik önlemleri kullanmalıdır, Çevrimiçi hesaplarınız için çok faktörlü kimlik doğrulama kullanılmalıdır, Kaynağı güvenilir olmayan e-postalar açılmamalıdır, Sadece güvenilir web sitelerinden uygulama ve yazılım indirilmelidir.
BlueKeep Zaafiyeti
Microsoft’un geçtiğimiz ay yayınlamış olduğu BlueKeep Zafiyeti, Uzak Masaüstü Protokolü (RDP) hizmetindeki bir açıktan faydalanılarak uzaktan kod yürütmeye olanak sağlamaktadır. Yaklaşık 950 bin Microsoft kullanıcısının bu istenmeyen ve endişe verici güvenlik açığıyla karşı karşıya olduğu görülmektedir. Güncellenmeyen bir Windows cihazda Uzak Masaüstü Protokolü (RDP) servisi açıksa bu durum ciddi bir güvenlik zafiyeti teşkil etmektedir. (örn. Windows 7, Windows Server 2008 ve 2008 R2, Windows 2003, XP) Saldırganların, uzaktan kod yürütmenin haricinde bu zafiyeti kötü amaçlı yazılımlarına ekleyebilmeleri olasıdır. Açıktan faydalanan saldırganların WannaCry ’da olduğu gibi fidye tehdidi ile kullanıcılardan fayda sağlayabileceği ihtimali de söz konusudur. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Sisteminizde her zaman en güncel güvenlik önlemleri kullanmalıdır, Çok faktörlü kimlik doğrulayıcısı kullanılmalıdır, Sisteminiz her zaman en güncel sürümle güncellenmelidir, Oturum açma günlüklerinin takibi yapılmalıdır, İstismarları tespit etmek için IDS / IPS kullanılmalıdır.
En Tehlikeli Enjeksiyon Saldırıları
Enjeksiyon saldırısı olarak adlandırılan güvenlik açığı, bir saldırganın bir sisteme veya uygulamaya kötü amaçlı kod veya komutlar eklemesine olanak tanır. Ağ protokolleri, veritabanları, komut satırı arayüzleri ve çevrimiçi uygulamalar dahil olmak üzere çeşitli ortamlarda meydana gelebilir. Yetersiz girdi doğrulaması ve bir sistem veya uygulamanın güvenilmeyen verileri işlemesindeki kusurlar sıklıkla enjeksiyon saldırılarına yol açar. Enjeksiyonlar, web uygulamalarını hedef alan en eski ve en tehlikeli saldırılar arasındadır. Veri hırsızlığına, veri kaybına, veri bütünlüğü kaybına, hizmet reddine ve sistemin tamamen tehlikeye girmesine yol açabilirler. Enjeksiyon güvenlik açıklarının birincil nedeni genellikle yetersiz kullanıcı girişi doğrulamasıdır. Bir sistem veya uygulama, kullanıcı girdisi uygun olmayan şekilde doğrulandığında veya harici veri kaynakları doğru şekilde işlenmediğinde ve sterilize edilmediğinde enjeksiyon saldırılarına karşı savunmasız hale gelir. Bu tip saldırılardan korunmak için almamız gereken tedbirlerden bazıları; Güvenli olmayan web sitelerini ziyaret etmeyiniz. Çok faktörlü kimlik doğrulayıcısı kullanınız. Güçlü parolalar tercih ediniz. Gelişmiş güvenlik ürünleri kullanınız.
Orange Ağ Siber Saldırısı
İspanya'nın en büyük ikinci telekom sağlayıcısı Orange, Çarşamba günü bilinmeyen sayıda müşterinin internet erişimini etkileyen bir siber saldırıyla karşı karşıya kaldı.   Saldırı, Orange'ın IP ağ koordinasyon merkezini hedef aldı ve belirli web sitelerine erişimde bağlantı sorunlarına neden oldu.   Saldırının türünü ve saldırganların amaçlarını çevreleyen ayrıntılar bilinmemektedir. Bu olay, telekomünikasyon ağları gibi kritik altyapıların siber saldırılara karşı savunmasızlığını vurgulamakla birlikte, şirketlerin hem operasyonlarını hem de müşterilerinin verilerini korumak için siber güvenlik önlemlerine öncelik vermelerinin önemini hatırlatıyor. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Sisteminizde her zaman en güncel güvenlik önlemleri kullanmalıdır, Son kullanıcılar gelişen atak türlerine göre eğitilmelidir, Sisteminiz değişen atak türlerine göre geliştirilmelidir. Tüm sistem ve güvenlik ürünlerinizin doğru bir şekilde yedeklenmesine önem verip, belirli aralıklarla yedekten dönme testleri yapılmalıdır.
Google Chrome, Kötü Amaçlı Yazılım ve Kimlik Avı Saldırısı İçin Gerçek Zamanlı URL Korumasını Kullanıma Sunacak
Google Chrome, her 30-60 dakikada bir güncellenen yerel olarak depolanan bir liste tutan Güvenli Tarama ile kullanıcıları kötü amaçlı web sitelerinden ve dosyalardan koruyor. Güvenli olmayan siteler 10 dakika içinde ortaya çıkıp kaybolabildiği için yetersiz hale geliyor. Bu sorunu çözmek için Chrome, kullanıcı gizliliğinden ödün vermeden gerçek zamanlı URL koruması sağlayan yeni bir Güvenli Tarama sürümünü kullanıma sunuyor. Bu, gerçek URL'leri Google'a göstermeden URL'leri gerçek zamanlı bir listeyle karşılaştırarak kontrol eden, kısa süreli tehditlere karşı korumayı artıran ve sayısı artan kötü amaçlı sitelere göre daha iyi ölçeklenen yeni bir API aracılığıyla elde edilir. Saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Sisteminizde her zaman en güncel güvenlik önlemleri kullanmalıdır, Çok faktörlü kimlik doğrulayıcısı kullanılmalıdır, Sisteminiz her zaman en güncel sürümle güncellenmelidir, Oturum açma günlüklerinin takibi yapılmalıdır, İstismarları tespit etmek için IDS / IPS kullanılmalıdır.
Hyundai Avrupa, Black Basta'nın Son Fidye Kurbanı
Hyundai Motor Corporation'ın Avrupa bölümünün, Rusya bağlantılı Black Basta fidye çetesi tarafından Ocak ayında gerçekleştirilen fidye yazılımı saldırısının kurbanı olduğu bildirildi. Tecrübeli fidye çetesinin Almanya merkezli bölümden yaklaşık 3 TB veriyi ele geçirdiği söyleniyor. Elliptic ve Corvus Insurance'ın Kasım 2023 tarihli raporuna göre Black Basta'nın kötü şöhretli Conti fidye yazılımı çetesinin bir kolu olduğuna inanılıyor ve 2022'nin başlangıcından bu yana en az 100 milyon dolardan fazla Bitcoin fidye ödemesi elde ettiği ileri sürülüyor. Hikayeyi ilk kez aktaran Bleeping Computer'a göre Hyundai, sistemleri etkileyen bir BT sorununu ilk kez Ocak ayında keşfetti. Hyundai, "Güven ve emniyet, Hyundai'nin işinin temelidir ve önceliğimiz müşterilerimizi, çalışanlarımızı, yatırımcılarımızı ve ortaklarımızı korumaktır" ifadeleri kullandı ve bu son ihlalin siber güvenlik ve hukuk uzmanlarıyla birlikte araştırdığını ve ilgili yetkililerin bilgilendirildiğini söyledi. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Sisteminizde her zaman en güncel güvenlik ürünleri kullanmalıdır, Son kullanıcılar gelişen atak türlerine göre eğitilmelidir, Kullanılan sistem ve güvenlik ürünlerinizin doğru bir şekilde yedeklenmesine önem verilmelidir. Belirli aralıklarla yedekten dönme testleri yapılmalıdır.
YAPAY ZEKA SALDIRILARI VE KORUNMA YÖNTEMLERİ
Yapay zekâ (AI) kullanılarak yapılan siber saldırıların amacı, genellikle bir hedef sisteme zarar vermek ya da o sistemin güvenliğini zayıflatmaktır. Örneğin, bir siber saldırgan yapay zekâ kullanarak bir şirketin veri tabanına erişebilir, bu verileri çalabilir, değiştirebilir ya da eriştiği bu sistemin işlevselliğini bozarak onu kullanılamaz hale getirebilir.    ZERO TRUST NEDİR?  Zero Trust, kelime anlamı olarak “Sıfır Güven” demektir. Zero Trust yönteminde ise bir sistemdeki tüm nesnelerin (özellikle de bu nesnelerin birbirleriyle iletişim kurdukları nesnelerin) güvenilir olmadığı varsayımı ile hareket edilir. Zero Trust Siber saldırılara karşı oldukça etkili olan bir koruma yöntemidir.   “ZERO TRUST” MODELİ İLE KORUNMA  Zero Trust, içerisinde barındırdığı yöntemler ile güvenlik sağladığı başlıca alanlar şu şekildedir;   1.    Kötü amaçlı yazılım saldırılar.   2.    Kimlik avı saldırıları.   3.    DDoS saldırıları.   4.    SQL enjeksiyon saldırıları.   5.    Ortadaki adam ( MITM ) saldırıları.
Cloud Atlas Şirketleri Hedef Alıyor
Cloud Atlas,   2014'ten beri aktif olan bir siber tehdit grubudur. Tehdit grubu başta Rusya olmak üzere Belarus, Azerbaycan, Türkiye ve Slovenya'yı hedef alan kimlik avı saldırılarıyla tanınıyor. Hedefli kimlik avı saldırıları bir kuruma veya kişiye yönelik özel olarak hazırlanan saldırı türüdür. Cloud Atlas, CVE-2017-11882 olarak bilinen Microsoft Office güvenlik açığında faydalanarak   hedeflenen kişilere veya kurumlara kötü amaçlı ekleri e-posta aracıyla ileterek saldırıları gerçekleştirmektedir. Kötü amaçlı dosyayı açan kullanıcılar saldırgana yönetici ayrıcalıklarıyla rastgele kod yürütmesine olanak vermektedir.   Saldırganın yönetici haklarına sahip olması; sistemin tam kontrolünü ele geçirebileceği, programları yükleyebileceği, verileri görüntüleyebileceğini, değiştirebileceğini veya yok edebileceğini ve yeni hesaplar oluşturabileceği anlamına gelmektedir. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Kaynağı güvenilir olmayan e-postalar açılmamalı, Çok faktörlü kimlik doğrulayıcısı kullanılmalı, Sisteminiz her zaman en güncel sürümle güncellenmeli, Oturum açma günlüklerinin takibi yapılmalı, Offline olarak sistemde düzenli şekilde backup alınmalıdır.
SPYLOAN UYGULAMALARI İLE GELEN TEHLİKE
Android kullanıcıları, ESET tarafından SpyLoan  adı verilen ve hızla büyüyen bir tehdit konusunda uyarılıyor. ESET’ in siber güvenlik araştırmacılarına göre, bu virüs finans uygulamalarını hedef alıyor. Uygulamalar sosyal medya ve SMS yoluyla pazarlanıyor. Ayrıca Google Play'de de mevcut olan söz konusu uygulamaların dolandırıcı web siteleri ve üçüncü taraf uygulama mağazalarından indirilebileceği belirtiyor. 12 milyondan fazla indirilen uygulamanın; hesap ayrıntıları, mesajlar ve kişiler dahil olmak üzere hassas kişisel bilgileri çalmak üzere tasarlandığı öne sürülüyor. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Google Play Korumanın açık olduğundan emin olunuz, Kullanabileceğiniz en güncel android güncellemesini yükleyiniz, Güvenilmeyen uygulamaları kaldırınız. (Artık Play Store’da olmayan ya da harici yüklediğiniz uygulamalar) Sisteminizde en güncel güvenlik ürünlerini kullanınız.
Yeni Nesil Saldırı 'Quishing'
Geçtimiz günlerde QR kodlarının kötü amaçlı veriler dağıtmak için kullanımı 2023'ün 4. çeyreğinde özellikle ortalama çalışana kıyasla 42 kat daha fazla QR kodu kimlik avına maruz kalan yöneticilere karşı arttı.   QR kodlarına dayalı e-posta saldırıları son çeyrekte artış gösterdi; saldırganlar özellikle şirket yöneticilerini ve yöneticilerini hedef alarak, şirketlerin iş liderlerinin çevresine ek dijital korumalar yerleştirmeleri yönündeki tavsiyeleri güçlendirdi.   Daha da kötüsü, sağlayıcı Abnormal Security tarafından bu hafta yayınlanan bir rapora göre, Microsoft 365 ve DocuSign kullanıcılarını hedef alan saldırılar başarıyla e-posta gelen kutularına ulaşarak, QR kodlarını (aka "quishing") kullanan kimlik avı e-postaları sıklıkla spam filtrelerinden geçebiliyor. Mobil güvenlik firması Zimperium'un ürün direktörü Monique Becenti'ye göre, “QR kodlarıyla kimlik avının başarı oranı, geleneksel kimlik avı yöntemlerini geride bırakacak çünkü bu kodlar genellikle kullanıcıların URL'deki yazım hataları gibi tipik şüphe tetikleyicilerini atlıyor ve bu kodların taranma olasılığını artırıyor." Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları;   Sisteminiz düzenli olarak en güncel sürümle güncelleyiniz, Bilinmeyen kaynaklardan gelen QR kodlu e-posta iletilerini açmayınız, Güvenlik için bir QR tarayıcı kurun. Bağlantının güvenliğini kontrol eden QR tarayıcı uygulamalarını kullanınız, Çok faktörlü kimlik doğrulama kullanınız.   Detaylı bilgi için ticket@zerosecond.com.tr adresinden uzmanlarımızla iletişime geçebilirsiniz.
Medusa Ransomware Yükselişte
Medusa fidye yazılımıyla ilişkili tehdit aktörleri, taleplerini kabul etmek istemeyen kurbanların hassas verilerini yayınlamak için Şubat 2023'te dark web'de özel bir veri sızıntısı sitesinin piyasaya sürülmesinin ardından faaliyetlerini artırdı.   Palo Alto Networks Unit 42 araştırmacıları Anthony Galiette ve Doel Santos, The Hacker News ile paylaşılan bir raporda, "Çoklu şantaj stratejilerinin bir parçası olarak bu grup, mağdurlara verileri sızıntı sitelerinde yayınlandığında süre uzatımı, verilerin silinmesi veya tüm verilerin indirilmesi gibi birden fazla seçenek sunacak." dedi.   Grup tarafından düzenlenen fidye yazılımı saldırıları, bilinen yamalanmamış güvenlik açıklarına sahip internete yönelik varlıkların veya uygulamaların istismar edilmesi ve meşru hesapların ele geçirilmesiyle başlar ve genellikle hedef ağlara bir dayanak elde etmek için ilk erişim araçlarını kullanır.   Çoğunluğu ABD, İngiltere, Fransa, İtalya, İspanya ve Hindistan'da olmak üzere 74 kadar kuruluşun 2023'te fidye yazılımından etkilendiği tahmin ediliyor. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Kaynağı güvenilir olmayan e-postalar açılmamalı, Çok faktörlü kimlik doğrulayıcısı kullanılmalı, Sisteminiz her zaman en güncel sürümle güncellenmeli, Oturum açma günlüklerinin takibi yapılmalı, Offline olarak sistemde düzenli şekilde backup alınmalı.
Eğitim Kurumlarında Veri İhlali
Geçtiğimiz günlerde birçok üniversitede yapılmış olan saldırının ardından yeni bir saldırı daha Wollongong Üniversitesi’nde yapıldı. Üniversite yetkilileri tarafından onaylandığı üzere veri ihlalinin son kurbanı oldular. Hafta sonu yayınlanan bir açıklamada kurum, Wollongong Üniversitesi'ne yapılan veri ihlalini kabul etti ve olayı kontrol altına almak için önlemlerin alındığına dair halka güvence verdi. Hem personelin hem de öğrencilerin potansiyel olarak etkileneceği düşünülüyor. Üniversite ihlalin "tespit edildiğini ve kontrol altına alındığını" vurguladı. Wollongong Üniversitesi'nin veri ihlalinin tam kapsamı ve etkilenen kişi sayısı açıklanmadı. Üniversite, normal operasyonların kesintisiz devam etmesini sağlarken; veri ihlalinin nedenini ve boyutunu aktif olarak araştırıyor. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Bilgisayarlarınızda güncel güvenlik ürünleri kullanınız, Cihazların genel ve yama güncellemelerini takip ediniz, Tüm olası iş ve kişisel hesaplarda çok faktörlü kimlik doğrulamayı (MFA) devreye alınız, Bu tip saldırılara karşı farkındalık eğitimi alınız.
bottom of page