Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Rus Hacker Grubu AB Devlet Kurumlarını Hedef Alıyor

Rus Hacker Grubu AB Devlet Kurumlarını Hedef Alıyor

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 4 dk okuma süresi
250 0
Rus hacker grubu siber saldırı 2

Ukrayna-Rusya savaşıyla siber savaş da hız kazandı. Rus Hacker Grubu, AB Devlet Kurumlarını Hedef Alıyor 

Winter Wyvern olarak bilinen bir Rus hacker grubu, Avrupa’daki devlet kurumlarına yönelik yeni bir saldırı başlattı. Siber saldırılar  Şubat ayından bu yana aktif ve Rusya-Ukrayna savaşında yer alan NATO yetkilileri, hükümetler, askeri personel ve diplomatların e-postalarını ve diğer hassas bilgilerini çalmak için phishing ve açık noktalarından yararlanıyor.

Ne keşfedildi?

Rus hacker grubu  1

Proofpoint, Winter Vivern APT group’un (diğer adıyla TA473), Avrupa’daki NATO ile uyumlu hükümetlerin web postalarını hedeflemek için Zimbra İşbirliği Paketindeki siteler arası komut dosyası oluşturma güvenlik açığından (CVE-2022-27926) yararlandığını tespit etti.
Siber çete, hedefleri belirlemek için yamasız Zimbra tarafından barındırılan web posta portallarını izlemek için Acunetix gibi tarama araçlarını kullanıyor.

İlginizi çekebilecek yazımız:

İlgili Yazı: İtalya, Yapay Zeka Robotu ChatGPT’yi Engelledi

Araştırmacılar, bu güvenlik açığından yararlanmanın, Zimbra İşbirliği Paketinin daha geniş bir yelpazesini etkileyen bir başka kusur olan CVE-2021-35207’nin kullanımına çok benzer olduğunu belirtiyorlar.
Bazı durumlarda, tehdit aktörlerinin yükleri teslim etmek için RoundCube Web Postası istek belirteçlerini hedeflediği de bulunur.

Web Güvenlik Açığı Enjekte Etme Süreci 

  • Enfeksiyon zincirinin ilk aşaması, ilgili devlet kaynakları olduğu iddia edilen kimlik avı e-postaları aracılığıyla gerçekleştirilir.
  • E-postanın gövdesi, kurbanın web posta portallarında kötü amaçlı yükleri yürütmek için Zimbra güvenlik açığını kötüye kullanan kötü amaçlı bir URL ile köprülüdür.
  • JavaScript’te yazılan kötü amaçlı yükler, güvenliği ihlal edilmiş Zimbra uç noktasından alınan çerezlerden kullanıcı adlarını, şifreleri ve belirteçleri çalmak için kullanılır.

Geçen Hafta’da Bu Tarz Siber Saldırı Oldu

  • Proofpoint’in son araştırması, Sentinel One’ın son analizine benzer.
    O sırada Winter Vivern APT, Ukrayna, Polonya, İtalya ve Hindistan’daki devlet kurumlarını ve yetkilileri hedef aldı.
  • Ukrayna’yı destekleyen özel bir telekomünikasyon şirketi de saldırının kurbanı oldu.
  • Siber saldırı, virüs tarayıcı kılığına girmiş bir truva atı yaymak için Avrupa ajanslarını taklit eden web sayfalarından yararlandı.
  • Ek olarak, Winter Vivern APT saldırıyı gerçekleştirmek için kötü amaçlı belgeler ve tarama araçları kullandı.

Sonuç 

Siber hacker grubunun en belirleyici özelliği, meşru hükümet kaynaklarını taklit eden güvenlik açıklarını ve kimlik avı tuzaklarını tarama yaklaşımıdır. En son siber saldırı, daha önce bilinen bir Zimbra kusurunun kullanılmasını içerdiğinden, kamuya açık web posta portallarında, özellikle de Avrupa devlet kurumları tarafından kullanılanlarda kullanılan Zimbra İşbirliğinin tüm sürümlerinin yamalanması şiddetle tavsiye edilir. Ayrıca, kuruluşlar şüpheli görünen e-postalardan önce gönderenin adresini çapraz kontrol etmelidir.

Bu haber Cyware üzerinden çevirilmiştir.

Haber Kaynağı: Cyware

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir