Tyler Çapraz
Teknoloji devi Microsoft, yakın zamanda Windows yazılımındaki Rus merkezli bilgisayar korsanlarının istismar ettiği bir güvenlik açığını giderdi. Tehdit aktörleri APT 28, Forrest Blizzard ve Fancy Bear dahil olmak üzere birden fazla grup adına yanıt veriyor.
Tipik olarak grubun dünya çapındaki çeşitli şirketlere çeşitli kimlik avı ve kimlik sahtekarlığı saldırıları başlatmasıyla tanınıyor. Gruptaki çok sayıda araştırmacı, onların Rus devletine fayda sağlayan saldırılar gerçekleştirdiği sonucuna vardı ve bu da birçoğunun onların gerçek bir devlet destekli bilgisayar korsanlığı grubu olduğu sonucuna varmasına yol açtı.
Kendilerine yönetici ayrıcalıkları vermek ve Microsoft ağından güvenliği ihlal edilmiş bilgileri çalmak için Windows Yazıcı Biriktiricisi hizmetinden yararlandılar. Operasyon, yeni tanımlanan kötü amaçlı yazılım aracı APT 28'in operasyon için özelleştirilmiş GooseEgg'in kullanımını içeriyordu.
Grup geçmişte X-Tunnel, XAgent, Foozer ve DownRange gibi başka hackleme araçları da geliştirmişti. Grup bu araçları hem saldırı başlatmak hem de ekipmanı diğer suçlulara satmak için kullanıyor. Bu, hizmet olarak kötü amaçlı yazılım modeli olarak bilinir.
CVE-2022-38028 olarak adlandırılan güvenlik açığı, birkaç yıl boyunca tespit edilemedi ve bu bilgisayar korsanlarına Windows'tan hassas verileri toplamak için geniş fırsatlar sağladı.
Microsoft, APT 28'in "Ukrayna, Batı Avrupa ve Kuzey Amerika hükümeti, sivil toplum, eğitim ve ulaşım sektörü kuruluşları dahil olmak üzere hedeflere yönelik uzlaşma sonrası faaliyetlerin bir parçası olarak GooseEgg'i kullandığını" açıklıyor.
Bilgisayar korsanları "uzaktan kod yürütme, arka kapı kurma ve güvenliği ihlal edilmiş ağlarda yanal hareket etme gibi hedefleri takip ediyor."
Birkaç siber güvenlik uzmanı, CVE-2022-38028'in keşfinden sonra sektörle ilgili endişelerini dile getirdi.
Greg Fitzgerald şöyle yazıyor: "Güvenlik ekipleri CVE'leri tespit etme ve düzeltme konusunda inanılmaz derecede verimli hale geldi, ancak bu durumda, yazdırma süreçlerini yöneten Windows Yazdırma Biriktiricisi hizmetindeki çevresel güvenlik açıkları giderek daha fazla kötü niyetli aktörlerin verilere erişmesine olanak tanıyan güvenlik açıkları yaratıyor." Sevco Security'nin kurucu ortağı.
Microsoft, güvenlik açığını düzeltti ancak birkaç yıl süren bu ihlalin olası zararları bilinmiyor ve bilgisayar korsanı grubu hala ortalıkta yok.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/
