Magniber fidye yazılım çetesi tarafından PrintNightMare güvenlik açığının kullanıldığı keşfedildi

Magniber fidye yazılım çetesi tarafından PrintNightMare güvenlik açığının kullanıldığı keşfedildi

Siber güvenlik şirketi CrowdStrike tarafından yapılan analizler ve sonrasında yayınlanan rapora göre, 2017 yılındaki faaliyetleriyle bilinen Magniber fidye yazılım çetesinin uzun bir süreden sonra yeni faaliyetleri gözlemlenmiş ve henüz yama uygulamamış Güney Kore’deki kullanıcıları veya şirketleri PrintNightMare güvenlik açığını kullanarak hedef aldığı tespit edilmiş. Saldırıların bilinen kadarıyla 13 Temmuz 2021’den bu yana gerçekleştirildiği belirtiliyor.

Magniber fidye yazılım çetesinin ilk olarak 2017 yılının sonlarında Magnitude Exploit Kit’ini (EK) kullanan kötü amaçlı reklam kampanyaları aracılığıyla Güney Kore’deki kurbanları hedef almış. Ancak çete, 2018’in ortalarına gelindiğinde hedef alanını biraz daha fazla genişletip diğer Asya Pasifik ülkelerindeki kişi veya kuruluşları hedef aldığı tespit edilmiş.

Magniber çetesinin son zamanlarda oldukça popüler olan ve PrintNightmare olarak adlandırılan yazıcı biriktiricisi güvenlik açığını kullandığı, bu açığı kullanarak tekrardan faaliyetlerine başladığı keşfedilmiş. Açıkcası bu güvenlik açığı ile ilgili PoC, çok kısa bir süre yayında kalıp, kaldırılmıştı ve kimler tarafından kullanılacağı meselesi beklenen bir gelişmeydi.

Saldırganlardan benzer davranışsal hareketler

CrowdStrike güvenlik araştırmacıları yaptıkları analizlerde, daha önceki yıllarda Magniber fidye yazılım çetesine ait örnek zararlıları karşılaştırdıklarında benzer davranışsal hareketlerle karşılaşmışlar: öncelikle mevcut veya buldukları bir güvenlik açığından yararlanıp, gizlenen DLL yükleyecesini kurbanın bilgisayarına bırakmak, daha sonra bu DLL yükleyecisini legal olarak çalışan bir işleme enjekte edip, son olarakta yerel dosya geçişi ve şifreleme gerçekleştiren çekirdek DLL yükleyici paketini unpack etmek olarak geçiyor. Kurbana ait verileri şifreleme işleminden sonra diğer fidye yazılım çeteleriyle aynı işlemleri gerçekleştiriyorlar.

Hangi PrintNightMare açığı kullanılıyor?

Microsoft, PrintNightmare sıfırıncı gün açığını yani  CVE-2021-34527‘i gidermek için KB5004945 adında acil bir yama yayınlamıştı. Daha sonra yayınlamış olduğu güncelleştirmelerin CVE-2021-1675 sorununu gidermediği anlaşılınca, PrintNightMare olarak bilinen bu güvenlik açığı için CVE-2021-34527 adında yeni bir CVE duyurmuştu.

Bu iki CVE ile ilgili şöyle bir ayrıntı mevcut; CVE-2021-34527’ında ayrıcalık yükselmesi hatası bulunurken, CVE-2021-34527’da ise uzaktan kod yürütme mevcut olarak bulunuyor. Yapılan analizlerden sonra Magniber fidye yazılım çetesinin CVE-2021-34527 adlı CVE’den yararlandıkları anlaşılmış. Saldırıların şimdilik Güney Kore ile sınırlı kaldığı anlaşılırken, başka ülkelerde henüz bu açığın kullanılıp hedef alındığı bir kuruluş veya kullanıcıya rastlanılmamış.

Bunlar ilginizi çekebilir!

Romanya seçimleri: AB, TikTok'un verileri dondurmasını ve saklamasını emretti

Romanya seçimleri: AB, TikTok'un verileri dondurmasını ve saklamasını emretti

Avrupa Komisyonu, Romanya'da devam eden seçimler sırasında gizliliği kaldırılmış istihbarat belgelerinin ardından Dijital Hizmetler Yasası kapsamında TikTok'un verileri dondurmasını ve saklamasını emretti. Görevden ayrılan Cumhurbaşkanı Klaus Iohannis tarafından 28 Kasım 2024 tarihli toplantıda alınan karar doğrultusunda gizliliği kaldırılmış istihbarat belgeleri, 5 Aralık Çarşamba günü resmi olarak

By Editor
Suçlular tarafından kullanılan şifreli mesajlaşma servisi MATRIX kapatıldı

Suçlular tarafından kullanılan şifreli mesajlaşma servisi MATRIX kapatıldı

Suçlular tarafından kullanılan "karmaşık" bir şifreli mesaşlaşma servisi olan MATRIX, Fransız ve Hollandalı yetkililerin yer aldığı ortak bir soruşturma ekibi tarafından çökertildi. Europol tarafından verilen bilgilere göre MATRIX adı verilen ve suçlular için oluşturulan mesajlaşma servisi, ilk olarak 2021 yılında Hollandalı bir gazetecinin öldürülmesinden hüküm giymiş bir suçlunun

By Editor