Kaspersky Orta Doğu, Türkiye ve Afrika’yı hedef alan yeni bir arka kapı keşfetti

Kaspersky uzmanları, Microsoft tarafından düzenlenen tanınan bir web sunucusu olan Internet Information Services (IIS) içine makûs gayeli bir modül olarak yerleşen, yeni tespit ettiği SessionManager art kapısını gün ışığına çıkardı. SessionManager sisteme bulaşmasının akabinde e-posta toplamaktan kurbanın altyapısı üzerinde tam denetim sağlamaya kadar çok çeşitli makus gayeli etkinliklere imkan tanıyor. Birinci olarak Mart 2021’in sonlarında keşfedilen arka kapı Kuveyt, Suudi Arabistan, Nijerya, Kenya ve Türkiye dahil olmak üzere Orta Doğu, Türkiye ve Afrika bölgesinden sekiz ülkede hükümet kurumlarını ve sivil toplum kuruluşlarını hedefliyor.

Aralık 2021’de Kaspersky, bir kullanıcının Outlook Web Access’te (OWA) oturum açarken girdiği kimlik bilgilerini çalan, evvelden bilinmeyen bir IIS modülü olan “Owowa”yı ortaya çıkardı. O vakitten beri, şirketin uzmanları siber hata faaliyeti için yeni fırsatları takibe aldılar. Bu sırada IIS içine dağıtmak üzere bir art kapı yerleştirmenin, daha evvel Microsoft Exchange içindeki “ProxyLogon tipi” güvenlik açıklarından birini kullanan tehdit aktörleri için yeni bir eğilim olduğu ortaya çıktı. Yakın vakitte yaptıkları bir araştırma sırasında Kaspersky uzmanları, SessionManager isimli yeni bir art kapı modülüyle karşılaştı.

SessionManager art kapısı, tehdit aktörlerinin hedeflenen kuruluşun BT altyapısına kalıcı, güncellemeye güçlü ve epey kapalı erişim sağlamasına yol açıyor. Kurbanın sistemine bir sefer girdikten sonra art kapıyı kullanan siber hatalılar, şirket e-postalarına erişebiliyor, öteki makûs gayeli yazılımları yükleyerek daha fazla makus gayeli erişimi güncelleyebiliyor yahut makus maksatlı altyapı olarak kullanılabilecekleri, güvenliği ihlal edilmiş sunucuları gizlice yönetebiliyor.

SessionManager’ın ayırt edici bir özelliği zayıf algılama oranı. İlk olarak 2022’nin başlarında Kaspersky araştırmacıları tarafından keşfedilen birtakım art kapı örnekleri, en tanınan çevrimiçi belge tarama hizmetlerinde hala makus hedefli olarak işaretlenmiyor. Üstelik SessionManager hedeflenen kuruluşların 91’inden fazlasında konuşlandırılmış durumda.

Genel olarak Avrupa, Orta Doğu, Güney Asya ve Afrika’dan 24 kuruluşun 34 sunucusu SessionManager tarafından ele geçirildi. SessionManager’ı işleten tehdit aktörü STK’lara ve devlet kurumlarına özel bir ilgi gösteriyor. Fakat bunların yanı sıra tıbbi kuruluşları, petrol ve nakliye şirketlerini de gaye alıyor.

Benzer bir mağduriyet ve yaygın “OwlProxy” varyantının kullanılması nedeniyle Kaspersky uzmanları, berbat niyetli IIS modülünün, casusluk operasyonlarının bir kesimi olarak GELSEMIUM tehdit aktörü tarafından kullanılmış olabileceğini düşünüyor.

Kaspersky Global Araştırma ve Tahlil Grubu Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Exchange sunucularındaki güvenlik açıklarından yararlanma, 2021 yılının birinci çeyreğinden bu yana hedeflenen altyapıya girmek isteyen siber hatalıların gözdesi oldu. Bu, bilhassa uzun müddettir fark edilmeyen bir dizi siber casusluk kampanyasını mümkün kıldı. Yakın vakitte keşfedilen SessionManager, bir yıl boyunca zayıf bir halde algılandı. Devasa ve gibisi görülmemiş sunucu tarafı güvenlik açığı istismarıyla karşı karşıya kalan siber güvenlik aktörlerinin birden fazla, tespit ettikleri birinci ihlalleri araştırmak ve bunlara karşılık vermekle meşguldü. Sonuç olarak bununla ilgili makûs niyetli faaliyetleri aylar yahut yıllar sonra keşfetmek hala mümkün ve bu muhtemelen uzun bir müddet bu türlü devam edecek.”

Delcher, ayrıyeten şunları ekliyor: “Gerçek vakitli yahut yakın vakit evvel gerçekleşmiş siber tehditlere ait görünürlük kazanmak, şirketlerin varlıklarını muhafazaları açısından çok değerlidir. Bu cins akınlar değerli mali yahut prestij kayıplarına neden olabilir ve amacın operasyonlarını kesintiye uğratabilir. Tehdit istihbaratı, bu cins tehditlerin muteber ve vaktinde iddia edilmesini sağlayan tek bileşendir. Hele Exchange sunucuları kelam konusu olduğunda bunu ne kadar vurgulasak az: Makûs niyetli niyet ne olursa olsun, geçen yılın güvenlik açıkları onları eksiksiz amaçlar haline getirdi. Bu nedenle şimdi yapılmadıysa Exchange sunucuları dikkatlice denetlenmeli ve kapalı implantlar açısından izlenmeli.”

Kaspersky eserleri, SessionManager dahil olmak üzere birçok berbat gayeli IIS modülünü algılayabiliyor.

SessionManager’ın çalışma tarzı ve amaçları hakkında daha fazla bilgi edinmek için Securelist adresini ziyaret edebilirsiniz.

İşletmelerinizi bu cins tehditlerden korumak için Kaspersky uzmanları ayrıyeten şunları önermektedir:

  • Açıkta kalan IIS sunucularında (özellikle Exchange sunucularında) yüklü IIS modüllerini sistemli olarak denetim edilmeli ve IIS sunucu paketindeki mevcut araçlardan yararlanılmalıdır. Microsoft sunucu eserlerinde her büyük güvenlik açığı duyurulduğunda, tehdit avı etkinliklerinizin bir kesimi olarak bu tıp modülleri denetim etmelisiniz.
  • Savunma stratejisi yanal hareketleri ve internete data sızmasını tespit etmeye odaklanmalıdır. Siber hatalı temaslarını tespit etmek için giden trafiğe bilhassa dikkat edilmelidir. Datalar tertipli olarak yedeklenmeli ve acil bir durumda süratlice erişilebileceğinden emin olunmalıdır.
  • Saldırganlar gayelerine ulaşmadan evvel, saldırıyı erken evrelerde belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response hizmeti üzere tahliller kullanılmalıdır.
  • Kaspersky Endpoint Security for Business (KESB) üzere, berbata kullanım tedbire, davranış algılama ve makûs maksatlı hareketleri geri alabilen bir düzeltme motoruyla desteklenen muteber bir uç nokta güvenlik tahlili tercih edilmelidir. KESB, siber hatalılar tarafından sistemden kaldırılmasını engelleyebilecek kendini müdafaa sistemlerine sahiptir.

Kaynak: (BYZHA) – Beyaz Haber Ajansı

Yorum yapın