2021 yazının sonlarında Kaspersky’nin otomatik algılama teknolojileri, birden çok Microsoft Windows sunucusunda ayrıcalık yükseltmesi kullanan bir dizi saldırıyı engelledi. Saldırıyı daha yakından inceleyen Kaspersky araştırmacıları, yeni bir sıfır gün açığı keşfetti.
Yılın ilk yarısı boyunca Kaspersky uzmanları, sıfır gün açıklarını kullanan saldırılarda artış gözlemledi. Sıfır gün güvenlik açığı, satıcının farkına varmadan önce saldırganlar tarafından keşfedilen bilinmeyen bir yazılım hatasıdır. Satıcılar henüz farkında olmadığından sıfırıncı gün güvenlik açıkları için hiçbir yama mevcut değildir ve bu da saldırıların beklenmedik ölçüde başarılı olmasına neden olur.
Kaspersky teknolojileri, birden çok Microsoft Windows sunucusunda ayrıcalık yükseltmesi kullanan bir dizi saldırı tespit etti. Bu güvenlik açığı, CVE-2016-3309 güvenlik açığı için genel olarak bilinen eski bir istismara ait birçok hata ayıklama dizesine sahipti. Ancak daha yakından yapılan analizler, Kaspersky araştırmacılarının yeni bir sıfır gün açığı keşfettiğini ortaya çıkardı. Kaspersky araştırmacıları bu etkinlik kümesine MysterySnail adını verdi.
Komuta ve Kontrol (C&C) altyapısıyla keşfedilen kod benzerliği ve yeniden kullanımı, araştırmacıları bu saldırıları kötü şöhretli IronHusky grubuyla ve 2012 yılına dayanan Çince konuşan APT etkinliğiyle ilişkilendirmeye yöneltti.
Sıfır gün açığıyla birlikte kullanılan kötü amaçlı yazılım yükünü analiz eden Kaspersky araştırmacıları, bu kötü amaçlı yazılımın çeşitlerinin BT şirketlerine, askeri ve savunma sanayi yüklenicilerine ve diplomatik kuruluşlara yönelik yaygın casusluk kampanyalarında kullanıldığını buldu.
Güvenlik açığı Microsoft’a bildirildi ve Salı Ekim Yamasının bir parçası olarak 12 Ekim 2021’de yamalandı.
Kaspersky ürünleri, yukarıdaki güvenlik açığı ve ilişkili kötü amaçlı yazılım modüllerine yönelik istismarı algılıyor ve bunlara karşı koruma sağlıyor.
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Güvenlik Uzmanı Boris Larin şunları söylüyor:
“Son birkaç yıldır saldırganların yeni sıfır gün açıkları bulma ve bunlardan yararlanma konusundaki ilgisinde belirli bir eğilimi gözlemledik. Satıcılar tarafından önceden bilinmeyen güvenlik açıkları, kuruluşlar için ciddi bir tehdit oluşturabilir. Ancak, çoğu benzer davranışları paylaşır. Bu nedenle, en son tehdit istihbaratına güvenmek ve bilinmeyen tehditleri proaktif olarak bulan güvenlik çözümlerini kurmak önemlidir.”
Kuruluşunuzu yukarıda belirtilen güvenlik açıklarından yararlanan saldırılardan korumak için Kaspersky uzmanları şunları öneriyor:
- Microsoft Windows işletim sistemini ve diğer üçüncü taraf yazılımlarını mümkün olan en kısa sürede güncelleyin ve bunu düzenli olarak yapın.
- Davranış algılama ve kötü amaçlı eylemleri geri alabilen bir düzeltme motoruyla desteklenen güvenilir bir uç nokta güvenlik çözümü kullanın.
- Anti-APT ve EDR çözümlerini kurun, tehdit keşfi ve tespit yetenekleri, soruşturma ve olayların zamanında düzeltilmesini sağlayın. SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle düzenli olarak becerilerini yükseltin.
