Siber güvenlik şirketi WatchGuard, 2022 yılının üçüncü çeyreğinde WatchGuard Tehdit Laboratuvarı araştırmacıları tarafından analiz edilen en önemli kötü amaçlı yazılım trendleri ile ağ ve uç nokta güvenlik tehditlerini detaylandırdığı İnternet Güvenlik Raporu’nu yayınladı.
Verilerden elde edilen bulgular, bu çeyreğin en önemli kötü amaçlı yazılım tehdidinin yalnızca şifreli bağlantılar üzerinden tespit edildiğine, ICS saldırılarının popülerliğini koruduğuna, LemonDuck kötü amaçlı yazılımının kriptominer dağıtımının ötesine geçtiğine, bir Minecraft hile motorunun ise kötü amaçlı bir ek içerdiğine ve çok daha fazlasına ışık tutuyor.
WatchGuard’ın araştırması ayrıca ortadaki düşman saldırılarının metalaşmasını, istismar kitlerinde JavaScript gizlemesini ve Gothic Panda bağlantılı bir kötü amaçlı yazılım ailesini de analiz ediyor.
WatchGuard’ın 2022 yılı İnternet Güvenliği Üçüncü Çeyrek Raporu’nda yer alan diğer önemli bulgular şu şekilde sıralanıyor;
• Kötü amaçlı yazılımların büyük çoğunluğu şifrelenmiş bağlantılar üzerinden geliyor. Agent.IIQ bu çeyrekte ilk 10 kötü amaçlı yazılım listesinde üçüncü sırada yer almasına rağmen, 3’üncü çeyrek için şifrelenmiş kötü amaçlı yazılım listesinin en üstünde yer aldı. Bu iki listedeki tespitlere bakıldığında tüm Agent.IIQ tespitlerinin şifrelenmiş bağlantılardan geldiği gözlemleniyor. Üçüncü çeyrekte bir Firebox cihazının tespit ettiği kötü amaçlı yazılımların yüzde 82’si bu şifrelenmiş bağlantıdan geliyordu ve geriye şifreleme olmadan tespit edilen yalnızca yüzde 18’lik yetersiz bir oran kalıyordu. Firebox’ta şifrelenmiş trafik denetlenmiyorsa bu ortalama oranın geçerli olması ve kötü amaçlı yazılımların büyük bir bölümünü kaçırıyor olma olasılığı artıyor. Bu sebeple, kuruluşlar, devletler ve KOBİ’ler, siber saldırılardan kaçınmak için uç nokta koruması uygulamalı.
• ICS ve SCADA sistemleri trend saldırı hedefleri olmaya devam ediyor. Bu çeyrekte ilk 10 ağ saldırısı listesine yeni giren SQL enjeksiyon tipi bir saldırı birkaç satıcıyı etkiledi. Bu şirketlerden biri, WebAccess portalı çeşitli kritik altyapılardaki SCADA sistemleri için kullanılan Advantech’tir. Üçüncü çeyrekte hacim bakımından ilk beş ağ saldırısı arasında yer alan bir diğer ciddi istismar da Schneider Electric’in U.motion Builder yazılımının 1.2.1 ve önceki sürümlerini içeriyordu. Bu, saldırganların sessizce bir fırsat beklemediklerini, aksine mümkün olan her yerde aktif olarak sistemi tehlikeye atmaya çalıştıklarını gösteriyor.
• Exchange sunucu güvenlik açıkları risk oluşturmaya devam ediyor. Threat Lab’ın bu çeyrekte yeni imzaları arasında yer alan en yeni CVE, CVE-2021-26855, şirket içi sunucular için bir Microsoft Exchange Server Uzaktan Kod Yürütme (RCE) güvenlik açığıdır. Bu RCE güvenlik açığına 9,8 CVE puanı verildi ve açığın saldırganlar tarafından istismar edildiği de biliniyor. HAFNIUM grubu tarafından kullanılan açıklardan biri olduğu için bu CVE-2021-26855’in tarihi ve önem derecesi de bir zil çalmalıdır. Bundan etkilenen Exchange sunucularının çoğu şimdiye kadar yamalanmış olsa da çoğu herkese eşit değildir. Bu nedenle riskler devam etmektedir.
• Özgür yazılım arayanları hedef alan tehdit aktörleri. Fugrafa, kötü amaçlı kod enjekte eden kötü amaçlı yazılım indiriyor. Bu çeyrekte WatchGuard Tehdit Laboratuvarı, popüler oyun Minecraft için bir hile motorunda bulunan bir örneğini inceledi. Öncelikle Discord’da paylaşılan dosya Minecraft hile motoru Vape V4 Beta olduğunu iddia etse de içerdiği tek şey bu değil. Agent.FZUW, Variant.Fugrafa ile birtakım benzerlikler taşıyor ancak bir hile motoru aracılığıyla kurulum yerine, dosyanın kendisi kırılmış bir yazılıma sahipmiş gibi davranıyor. Tehdit Laboratuvarı, bu özel örneğin kripto para birimi değişim hizmetlerinden hesap bilgilerini ele geçirmek için kullanılan bir kripto para birimi hackleme kampanyası olan Racoon Stealer ile bağlantıları olduğunu keşfetti.
• LemonDuck kötü amaçlı yazılımı kriptominer dağıtımının ötesine geçiyor. 2022’nin üçüncü çeyreğinde engellenen veya izlenen toplam kötü amaçlı yazılım alan adlarında bir düşüş olsa bile şüphelenmeyen kullanıcılara yönelik saldırıların hala yüksek olduğunu görmek mümkün. En iyi kötü amaçlı yazılım etki alanları listesine üç yeni ekleme yapıldı; bunlardan ikisi eski LemonDuck kötü amaçlı yazılım alan adlarıyken diğeri ise Emotet sınıflandırılmış alan adının bir parçasıydı. Üçüncü çeyrekte normalden daha yeni alan adları olan daha fazla kötü amaçlı yazılım ve kötü amaçlı yazılım girişimi sitesi görüldü. Bu eğilim, saldırganlar kullanıcıları kandırmak için başka yerler aradıkça, kargaşa içindeki kripto para birimi ortamıyla birlikte değişecek ve modifiye edilecek. DNS korumasını etkin tutmak, şüphelenmeyen kullanıcıların kuruluşunuza kötü amaçlı yazılım veya diğer ciddi sorunların girmesine izin vermesini izlemenin ve engellemenin bir yolu olarak ortaya çıkıyor.
• İstismar kitlerinde JavaScript gizleme. Tarayıcılara yönelik JavaScript gizleme saldırılarını tespit etmeye yönelik genel bir güvenlik açığı olan 1132518 numaralı imza, bu çeyrekte en yaygın ağ saldırısı imzaları listesine eklenen tek yeni imza türü oldu. JavaScript, kullanıcılara saldırmak için yaygın bir vektördür ve tehdit aktörleri JavaScript tabanlı istismar kitlerini her zaman kullanmaktadır. Kötü amaçlı reklamcılık, watering hole ve kimlik avı saldırıları bunlardan sadece birkaçını gösteriyor. Tarayıcılardaki savunma güçlendirmeleri geliştikçe, saldırganların kötü niyetli JavaScript kodunu gizleme becerileri de gelişiyor.
• Metalaştırılmış ortadaki düşman saldırılarının anatomisi. Çok faktörlü kimlik doğrulama (MFA), kimlik doğrulama saldırılarının çoğuna karşı koruma sağlamak için kullanılabilecek en iyi teknoloji olsa da tek başına tüm saldırı vektörlerine karşı kritik bir çözüm değildir. Siber saldırganlar, ortadaki düşman (AitM) saldırılarının hızlı yükselişi ve metalaşmasıyla bunu açıkça ortaya koydu. Ek olarak WatchGuard Tehdit Laboratuvarı’nın, üçüncü çeyreğin en önemli güvenlik olayı olan EvilProxy’yi derinlemesine incelemesi kötü niyetli aktörlerin daha sofistike AitM tekniklerine nasıl dönmeye başladığını gösteriyor. Son yıllarda popüler hale gelen Hizmet Olarak Fidye Yazılımı gibi Eylül 2022’de EvilProxy adlı bir AitM araç setinin piyasaya sürülmesi, daha önce sofistike bir saldırı tekniği olan bu yöntem için giriş engelini önemli ölçüde düşürdü. Savunma açısından bakıldığında, bu tür bir AitM saldırı tekniğiyle başarılı bir şekilde mücadele etmek hem teknik araçların hem de kullanıcı farkındalığının bir karışımını gerektiriyor.
• Gothic Panda ile bağlantılı bir kötü amaçlı yazılım ailesi. 2022 ikinci çeyrek raporumuzda, Çin Devlet Güvenlik Bakanlığı ile bağlantılı devlet destekli bir tehdit aktörü olan Gothic Panda’nın o çeyrekteki en etkili kötü amaçlı yazılım tespitlerinden birini nasıl kullandığı açıklanmıştı. İlginç bir şekilde, üçüncü çeyreğin en iyi şifrelenmiş kötü amaçlı yazılım listesi, yalnızca Gothic Panda tarafından oluşturulmayan ve yalnızca Çin hükümeti siber aktörleri tarafından kullanıldığı görülen Taidoor adlı bir kötü amaçlı yazılım ailesini içeriyor. Bu kötü amaçlı yazılım genellikle Japonya ve Tayvan’daki hedeflere odaklanırken, bu çeyrekte analiz edilen Generic.Taidoor örneğinin öncelikle Fransa’daki kuruluşları hedef aldığı tespit edildi. Bu durum da bu bölgedeki bazı Firebox’ların devlet destekli bir siber saldırının bazı bölümlerini tespit etmiş ve engellemiş olabileceğini gösteriyor.
• Yeni fidye yazılımı ve siber suç grupları. Ek olarak bu çeyrekte WatchGuard Tehdit Laboratuvarı, mevcut fidye yazılımı ve siber suç gruplarını izlemek ve gelecekteki raporlarda fidye yazılımıyla ilgili daha fazla bilgi sağlama amacıyla tehdit istihbarat yeteneklerini geliştirmek için yeni ve uyumlu bir çabayı duyurmaktan heyecan duyuyor. LockBit, karanlık web sayfalarında 200’den fazla halka açık fidye yazılımı ile üçüncü çeyrekte listenin başında yer alıyor. Bu, WatchGuard’ın üçüncü çeyrekte gözlemlediği en üretken ikinci fidye yazılımı grubu olan Basta’nın neredeyse dört katı.
