ASP OTOMASYON A.Ş. Haftalık Bültenler

Bir çalışanının zayıf şifresi, Akira adlı fidye yazılımının KNP Logistics adlı 158‑yıllık İngiliz lojistik şirketine sızmasına yol açtı. Hack‑ler sadece kritik verileri şifrelemekle kalmayıp, yedekleme ve felaket kurtarma sistemlerini de yok ederek şirketi, 5 milyon sterlinlik bir fidye ödemeye ve yaklaşık 700 işini kaybetmeye zorladı. Araştırmalar, ele geçirilen 193 milyon şifrenin %45’inin bir dakikadan kısa sürede kırılabildiğini gösteriyor; bu da güçlü, benzersiz şifrelerin ne kadar hayati olduğunu ortaya koyuyor.

Son dönemde Çin’e bağlı siber casusluk grupları, eski bir uzaktan erişim aracı olan PlugX ile daha yeni bir modüler RAT olan Bookworm’u aynı saldırı zincirinde kullanarak Asya’nın telekomünikasyon şirketleri ve ASEAN ülkelerinin ağlarına yönelik geniş çaplı bir kampanya yürütüyor. Bu saldırılar, meşru uygulamaları yanına alarak zararlı DLL’leri “DLL side‑loading” yöntemiyle belleğe yüklemeyi ve ardından şifreli payload’ları (PlugX, RainyDay, Turian gibi) çalıştırmayı içeriyor. Bookworm ise komut‑ve‑kontrol (C2) iletişimini gizlemek için sahte alan adları ve ele geçirilmiş altyapıyı kullanıyor, ayrıca UUID biçimindeki kabuk kodunu çözerek yürütüyor. Hedef sektörler arasında telekomünikasyon ve üretim bulunuyor; bu durum kritik iletişim altyapısının casusluk amaçlı veri sızdırma riski altında olduğunu gösteriyor.

Güvenlik araştırmacıları, Xcode projelerini enfekte eden ve macOS sistemlerine sızan XCSSET zararlı yazılımının yeni bir varyantını ortaya çıkardı. Bu sürüm, Firefox tarayıcı verilerini çalan bir “clipper” modülü ekleyerek panoya kopyalanan hassas bilgileri izliyor ve çalıyor. Ayrıca, LaunchDaemon girişleriyle kalıcılık sağlıyor, modül adlarını şifreleyerek analiz edilmesini zorlaştırıyor ve dijital cüzdan, Notlar uygulaması ve sistem dosyaları gibi çeşitli veri kaynaklarından bilgi topluyor. Kullanıcıların en iyi korunma yöntemi, işletim sistemlerini güncel tutmak, indirilen Xcode projelerini dikkatle incelemek ve yalnızca güvenilir kaynaklardan uygulama yüklemektir.

Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), eski nesil Cisco ASA 5500‑X serisi güvenlik duvarlarında keşfedilen sıfır‑gün açıklarını kullanan bir saldırı kampanyasını ortaya çıkardı. Bu açıklardan yararlanan saldırganlar, RayInitiator adlı bir boot‑kit ile LINE VIPER adlı yeni bir zararlı yazılımı cihazlara yerleştirerek komut çalıştırma ve veri sızdırma yeteneği kazandı. Ayrıca bazı durumlarda, cihazların önyükleme sürecini yöneten ROMMON kısmını değiştirerek yeniden başlatmalarda ve yazılım güncellemelerinde kalıcılık sağladılar. Etkilenen cihazlar, Secure Boot ve Trust Anchor gibi koruma özelliklerine sahip olmayan eski ASA modelleriydi ve saldırılar özellikle hükümet kurumlarını hedef aldı.

Vane Viper, kötü amaçlı bir reklam ağıdır ve yılda yaklaşık 1 trilyon DNS sorgusu üretir. Bu devasa trafik, 60 bin’den fazla alan adı üzerinden zararlı yazılım ve reklam dolandırıcılığı yaymak için kullanılır. Ağ, Monetag adlı şirket tarafından yönetilir; Monetag ise PropellerAds’in bir yan kuruluşudur. Guardio Labs ve Infoblox gibi güvenlik firmaları, Vane Viper’ın en az on yıldır geniş çapta malvertising (zararlı reklam) ve siber tehdit dağıtımında temel bir altyapı sağladığını ortaya koymuştur. Bu yapı, kullanıcıları sahte reklamlar aracılığıyla sosyal mühendislik saldırılarına yönlendirerek hem finansal kazanç elde eder hem de zararlı kodların yayılmasını kolaylaştırır.