Nokoyawa fidye yazılımı saldırılarında kullanılan Microsoft Windows’ta sıfır gün güvenlik açığı
Kaspersky uzmanları, Şubat ayında Microsoft Ortak Günlük Dosya Sistemindeki (CLFS) sıfırıncı gün güvenlik açığından yararlanan bir saldırı tekniği keşfetti. Bir siber suçlu grubu, Windows 11 de dahil olmak üzere Windows işletim sisteminin farklı sürümleri ve yapıları için geliştirilen bir güvenlik açığını kullanarak Nokoyawa fidye yazılımını dağıtmaya çalıştı. Microsoft, bu güvenlik açığını CVE-2023-28252 olarak adlandırdı ve 11 Nisan yamasının bir parçasıydı. Söz konusu tehdit aktörü, Orta Doğu ve Kuzey Amerika’da ve daha önce Asya bölgelerindeki farklı küçük ve orta ölçekli işletmelere yönelik baskınlarda benzer ayrıcalık yükseltme açıklarını uygulamaya çalışmıştı.
Kaspersky tarafından keşfedilen güvenlik açıkları birden çok gelişmiş tehdit kümesi (APT) tarafından kullanılırken, yeni güvenlik açığının karmaşık bir fidye yazılımı saldırısı kümesi tarafından siber suçlar için kullanıldığı ortaya çıktı. Bu küme birbirine yakın olsa da, her biri benzersiz Ortak Günlük Belge Sistemi (CLFS) güvenlik açıklarından yararlanma açısından dikkate değerdir. Kaspersky, bu türden en az beş farklı güvenlik açığıyla karşılaştı. Perakende, toptan satış, enerji, imalat, sağlık, yazılım geliştirme ve diğer branşlara yönelik saldırılarda kullanıldılar.
Microsoft, keşfedilen sıfır gün güvenlik açığına CVE-2023-28252 kodunu atadı. Bu, bu alt sistem tarafından kullanılan belge biçiminin değiştirilmesiyle tetiklenen Ortak Günlük Dokümantasyon Sistemi ayrıcalık yükseltme güvenlik açığına karşılık gelir. Kaspersky araştırmacıları, Şubat ayında Orta Doğu ve Kuzey Amerika bölgelerindeki farklı küçük ve orta ölçekli işletmeler için Microsoft Windows sunucularında benzer ayrıcalık yükseltme güvenlik açıklarından yararlanmaya yönelik bir dizi girişimin ek denetimleri sırasında güvenlik açığını ortaya çıkardı.
CVE-2023-28252, Kaspersky tarafından ilk olarak siber hataların Nokoyawa fidye yazılımının yeni bir sürümünü dağıtmaya çalıştığı bir baskında tespit edildi. Normalde, bu fidye yazılımının eski varyantları yalnızca JSWorm fidye yazılımının yeniden markalanmış sürümlerinden oluşuyordu. Ancak bahsi geçen saldırıda Nokoyawa varyantı, kod tabanı açısından JSWorm’dan oldukça farklıydı.
Saldırganlar CVE-2023-28252 güvenlik açığından yararlanır
Saldırıda kullanılan güvenlik açığı, Windows 11 dahil olmak üzere Windows işletim sisteminin farklı sürümlerinde ve yapılarında yer almaktadır. Saldırganlar, ayrıcalıkları yükseltmek ve Güvenlik Hesabı Yöneticisi (SAM) bilgi tabanından kimlik bilgilerini çalmak için CVE-2023-28252 güvenlik açığından yararlandı.
Kaspersky Global Research and Analysis Group’ta (GReAT) Baş Güvenlik Araştırmacısı Boris Larin, diyor: “Siber böcek kümeleri, baskınlarında sıfır gün güvenlik açıklarını kullanarak daha karmaşık hale geliyor. Önceden bunlar, Gelişmiş Kalıcı Tehdit aktörleri (APT’ler) tarafından kullanılan araçlardı. Ancak artık siber hatalar, sıfır gün güvenlik açıklarını elde edecek ve bunları saldırılarda rutin olarak kullanacak kaynaklara sahip. Ayrıca onlara yardımcı oluyorlar “Bundan yararlanmaya ve üzerinde yararlanmalar geliştirmeye istekli geliştirici grupları da var. İşletmelerin Microsoft’un yayımladığı yamayı mümkün olan en kısa sürede indirmeleri ve EDR çözümleri gibi diğer koruma yöntemlerini kullanmaları çok önemlidir.”
Kaspersky ürünleri, yukarıdaki güvenlik açığını ve ilgili kötü amaçlı yazılımları algılayabilir ve bunlara karşı koruma sağlayabilir.
Securelist’te bu yeni sıfır gün hakkında daha fazla bilgi edinebilirsiniz. Ayrıntılar, Nisan Salı Yaması geçtikten dokuz gün sonra açıklanacak. Bu şekilde, şirketlerin sistemlerini yamalamak için yeterli zamanı olacaktır.
Kaspersky uzmanları, kuruluşunuzu yukarıda belirtilen güvenlik açığını kullanan saldırılardan korumak için aşağıdakileri önermektedir:
- Microsoft Windows işletim sistemini mümkün olan en kısa sürede güncelleyin ve bunu düzenli olarak yapın
- Açıklardan yararlanmaları önleyebilen, kötü niyetli davranışları tespit edebilen ve kötü niyetli eylemleri tersine çevirebilen bir düzeltme motoruyla desteklenen Kaspersky Endpoint Security for Business gibi saygın bir uç nokta güvenlik çözümü kullanın.
- Tehdit keşfi ve algılama, soruşturma ve olayların zamanında düzeltilmesi için yetenekler sağlayan anti-APT ve EDR tahlillerini devreye alın. SOC grubunuza en son tehdit istihbaratına erişim sağlayın ve bunu profesyonel eğitimle düzenli olarak geliştirin. Yukarıdakilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- Uygun uç nokta korumasıyla birlikte, özel hizmetler yüksek profilli saldırılara karşı yardımcı olabilir. Kaspersky Yönetilen Tespit ve Yanıt hizmeti, saldırganlar hedeflerine ulaşmadan erken aşamalarda saldırıları tespit edip durdurmaya yardımcı olur.
Kaynak: (BYZHA) Beyaz Haber Ajansı