Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Hackerlar Tedarik Zinciri Saldırısıyla 390.000 WordPress Hesabını Hackledi

Hackerlar Tedarik Zinciri Saldırısıyla 390.000 WordPress Hesabını Hackledi

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 4 dk okuma süresi
156 0
Hackerlar Tedarik Zinciri Saldırısıyla

Hackerlar Tedarik Zinciri Saldırısıyla 390.000 WordPress Hesabını Hackledi

Siber güvenlik araştırmacıları, MUT-1244 adlı bir tehdit aktörünün, truva atı yerleştirilmiş bir WordPress şifre doğrulama aracı kullanarak 390.000’den fazla WordPress hesabının bilgilerini ele geçirdiğini tespit etti. Bu saldırı bir yıl boyunca sürdü ve diğer siber saldırganları hedef aldı.

Hackerlar Tedarik Zinciri Saldırısıyla Neleri Çaldı?

Araştırmaları yapan Datadog Security Labs, bu saldırı sırasında sadece WordPress kimlik bilgilerinin değil, aynı zamanda yüzlerce başka kurbandan şu bilgilerin de çalındığını belirledi:

  • SSH özel anahtarları,
  • AWS erişim anahtarları,
  • Önemli sistem bilgileri ve dosyalar.

Kurbanlar arasında, güvenlik test uzmanları (penetrasyon testi yapanlar), güvenlik araştırmacıları ve kötü niyetli siber saldırganlar bulunuyor.

Saldırı Nasıl Gerçekleşti?

Hackerlar Tedarik Zinciri Saldırısıyla

Saldırılar, iki ana yöntemle gerçekleştirildi:

  1. GitHub’da Truva Atı Yerleştirilmiş Kodlar
    Tehdit aktörü, GitHub’da, sahte güvenlik açığı test araçları (PoC’ler) gibi görünen zararlı kodlar yayınladı. Bu araçları indirip çalıştıran güvenlik uzmanları ve siber saldırganlar, farkında olmadan bilgisayarlarına zararlı yazılım yüklemiş oldu.
  2. Sahte Güncelleme ile Oltalama (Phishing)
    Kurbanlara, “CPU mikro kodu güncellemesi” gibi görünen sahte bir e-posta gönderildi. Bu e-posta, kurbanların zararlı yazılım içeren komutları çalıştırmasını sağladı.

Siber Güvenlik Araştırmacıları da Hedef Oldu

MUT-1244, sahte PoC kodlarını, güvenlik açıklarını araştıran profesyonelleri hedeflemek için kullandı. Bu kodlar, güvenlik uzmanlarının ilgi duyacağı isimlerle adlandırıldı ve popüler güvenlik kaynaklarına (örneğin Feedly Threat Intelligence veya Vulnmon) “meşru” olarak eklendi. Bu sayede, sahte araçların güvenilir görünmesi sağlandı ve daha fazla kişi bu kodları çalıştırdı.

İlginizi çekebilecek yazımız: PTT’nin HGS Uygulaması Hacklendi: Siber Saldırılar Artıyor, Kullanıcılar Tehlikede mi?


Nasıl Zararlı Yazılım Yüklendi?

Saldırganlar, GitHub havuzları aracılığıyla zararlı yazılımları dağıtmak için şu yöntemleri kullandı:

  • Truva atı yerleştirilmiş yapılandırma dosyaları,
  • Zararlı PDF dosyaları,
  • Python yükleyiciler (Python kodları),
  • Projelerin bağımlılıklarına eklenmiş zararlı npm paketleri.

Amaç: Bilgi Çalmak ve Kripto Para Madenciliği

Saldırı kapsamında kullanılan zararlı yazılımlar şunları içeriyor:

  1. Kripto Para Madencisi
    Kurbanların sistemlerini Monero madenciliği yapmak için kullandılar.
  2. Arka Kapı
    Kurbanların sistemlerinden şu bilgileri toplamak ve çalmak için bir arka kapı oluşturuldu:

    • SSH anahtarları,
    • AWS erişim bilgileri,
    • Çevresel değişkenler (environment variables),
    • “~/.aws” gibi dizinlerdeki önemli dosyalar.

Çalınan Veriler Nereye Gönderildi?

Çalınan bilgiler, Dropbox ve file.io gibi dosya paylaşım servislerine gönderildi. Araştırmacılar, saldırganların bu servislerde kullanmak üzere zararlı yazılımlarına hazır giriş bilgileri (kullanıcı adı ve şifre) eklediğini buldu. Bu, saldırganların çalınan bilgilere kolayca erişmesini sağladı.

Özetle:

MUT-1244, güvenlik açıklarıyla ilgilenen uzmanları kandırarak, sahte yazılımlar ve oltalama yöntemleriyle binlerce kişinin kimlik bilgilerini çaldı. Bu saldırılar sırasında hem güvenlik araştırmacıları hem de kötü niyetli aktörler hedef alındı.

Haber Kaynağı: Bleeping Computer

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir