Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. İranlı Hackerlar Windows Açığını Kullanarak Yetki Yükseltiyor

İranlı Hackerlar Windows Açığını Kullanarak Yetki Yükseltiyor

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 5 dk okuma süresi
236 0
İran siber saldırının arkasında olabilir 1

İranlı Hackerlar Windows Açığını Kullanarak Yetki Yükseltiyor

İran Devlet Destekli Hack Grubu APT34 (OilRig), Körfez Bölgesindeki Hükümet ve Kritik Altyapı Hedeflerine Yönelik Saldırılarını Artırdı

İran devlet destekli hack grubu APT34, diğer adıyla OilRig, son zamanlarda Birleşik Arap Emirlikleri ve Körfez bölgesindeki hükümet ve kritik altyapı kuruluşlarını hedef alan yeni saldırı kampanyalarıyla faaliyetlerini artırdı.

Trend Micro araştırmacıları tarafından tespit edilen bu saldırılarda, OilRig, Microsoft Exchange sunucularını hedef alarak kimlik bilgilerini çalmak için yeni bir backdoor kullandı ve aynı zamanda Windows’ta bulunan CVE-2024-30088 güvenlik açığını kötüye kullanarak ele geçirilen cihazlarda ayrıcalıklarını yükseltti.

OilRig ve FOX Kitten Bağlantısı

Trend Micro, OilRig’in faaliyetlerinin yanı sıra, bir başka İran merkezli APT grubu olan ve fidye yazılımı saldırılarıyla bilinen FOX Kitten ile de bir bağlantı kurdu.

OilRig’in En Son Saldırı Zinciri

Trend Micro’nun tespit ettiği saldırılar, savunmasız bir web sunucusunun sömürülmesiyle başlıyor. Bu saldırıda saldırganlar, uzaktan komut ve PowerShell komutları yürütme yeteneği sağlayan bir web shell yüklüyorlar. Web shell aktif hale geldikten sonra, OilRig bunu kullanarak ek araçlar dağıtıyor, bunlar arasında Windows CVE-2024-30088 açığını kötüye kullanacak bir bileşen de bulunuyor.

CVE-2024-30088 Güvenlik Açığı

CVE-2024-30088, Microsoft’un Haziran 2024’te düzelttiği, saldırganların ayrıcalıklarını SYSTEM seviyesine yükseltmelerine olanak tanıyan yüksek önem dereceli bir ayrıcalık yükseltme açığıdır. Microsoft, bu açık için bir kanıt konsepti (PoC) sömürüsünü kabul etti, ancak güvenlik portalında bu açığı henüz aktif olarak kötüye kullanılan bir açık olarak işaretlemedi. Ayrıca, CISA da bunu bilinen sömürülen güvenlik açıkları kataloğunda raporlamadı.

Kimlik Bilgilerini Çalma ve Veri Çıkartma

İranlı Hackerlar Windows Açığını

Bir sonraki aşamada, OilRig, şifre değiştirme olayları sırasında düz metin şifrelerini yakalamak için bir parola filtre DLL’si kaydediyor ve ardından ‘ngrok’ adlı uzaktan izleme ve yönetim aracını indirip kurarak güvenli tüneller üzerinden gizli iletişim sağlıyor.

Tehdit aktörlerinin kullandığı bir diğer yeni taktik ise, Microsoft Exchange sunucularını kullanarak kimlik bilgilerini çalmak ve meşru e-posta trafiği üzerinden hassas verileri dışarı aktarmak. Bu yöntem, tespiti zorlaştırıyor.

StealHook Backdoor’u

İranlı Hackerlar Windows Açığını

Veri çıkartma işlemi, ‘StealHook’ adı verilen yeni bir backdoor tarafından sağlanıyor. Trend Micro’ya göre, hükümet altyapıları genellikle bu sürecin meşru görünmesi için bir geçiş noktası olarak kullanılıyor.

İlginizi çekebilecek yazımız: Internet Archive (Archive.Org) Hacklendi: 31 Milyon Hesap Tehlikede

Bu aşamanın ana amacı, çalınan şifreleri yakalayıp bunları saldırganlara e-posta eki olarak iletmektir. Ayrıca, tehdit aktörlerinin çalınan şifrelerle meşru hesapları kullanarak bu e-postaları hükümet Exchange sunucuları üzerinden yönlendirdiği gözlemlenmiştir.

StealHook’un Gelişimi

Trend Micro, StealHook’un, OilRig’in daha önceki kampanyalarında kullandığı Karkoff gibi backdoor’larla kod benzerlikleri taşıdığını belirtti. Bu nedenle, bu yeni kötü amaçlı yazılım, sıfırdan bir yaratım olmaktan ziyade evrimsel bir adım olarak görülüyor.

Bu, OilRig’in Microsoft Exchange sunucularını ilk kez aktif bir saldırı bileşeni olarak kullanışı değil. Yaklaşık bir yıl önce Symantec, APT34’ün e-postalar aracılığıyla komut alabilen ve çalıştırabilen ‘PowerExchange’ adlı bir PowerShell backdoor’unu Microsoft Exchange sunucularına yerleştirdiğini rapor etmişti.

Tehdit Aktörünün Yüksek Aktivitesi ve Endişeler

OilRig, Orta Doğu bölgesinde oldukça aktif durumda ve FOX Kitten ile olan bağlantısı, şu an belirsiz olsa da, fidye yazılımını saldırı cephanelerine ekleme potansiyeli açısından endişe verici bir durum oluşturuyor.

Trend Micro’ya göre hedef alınan varlıkların çoğu enerji sektöründe yer alıyor. Bu kuruluşlarda meydana gelebilecek operasyonel kesintiler, birçok insanı ciddi şekilde etkileyebilir. İranlı Hackerlar Windows Açığını hedef alması körfez ülkelerini etkiliyor. 

Haber Kaynağı: Bleeping Computer

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir