Siber Muhbir

Siber güvenlik şirketi, 24 Temmuz 2024'te isimsiz bir Alman kuruluşunu taklit eden bir web sitesi aracılığıyla gerçek olmayan bir CrowdStrike Crash Reporter yükleyicisi dağıtan, ilişkilendirilmemiş bir hedefli kimlik avı girişimi olarak tanımladığı şeyi tespit ettiğini söyledi.

Sahte web sitesinin, başarısız güncellemenin yaklaşık 9 milyon Windows cihazını çökertmesinden ve dünya çapında kapsamlı BT kesintilerine neden olmasından bir gün sonra, 20 Temmuz'da oluşturulduğu söyleniyor.

CrowdStrike'ın Counter Adversary Operations ekibi, "Kullanıcı İndir düğmesini tıkladıktan sonra, web sitesi yükleyiciyi indirmek ve kodunu çözmek için JQuery v3.7.1 gibi görünen JavaScript'ten (JS) yararlanıyor" dedi.

"Yükleyici CrowdStrike markası, Alman yerelleştirmesi içeriyor ve kötü amaçlı yazılımı yüklemeye devam etmek için bir parola gerekiyor."

Özellikle, hedef odaklı kimlik avı sayfası, kötü amaçlı bir InnoSetup yükleyicisi içeren bir ZIP arşiv dosyasına bir indirme bağlantısı içeriyordu ve yürütülebilir dosyayı sunan kötü amaçlı kod, tespit edilmekten kaçınmak için bariz bir çabayla "jquery-3.7.1.min.js" adlı bir JavaScript dosyasına enjekte ediliyordu.

Sahte yükleyiciyi başlatan kullanıcılardan daha fazla ilerlemek için bir "Arka Uç Sunucusu" girmeleri istenir. CrowdStrike, yükleyici aracılığıyla dağıtılan son yükü kurtaramadığını söyledi.

Yükleyicinin parola korumalı olması ve muhtemelen yalnızca hedeflenen varlıklar tarafından bilinen girdiler gerektirmesi nedeniyle kampanyanın yüksek oranda hedeflenmiş olduğu değerlendirilmektedir. Ayrıca, Almanca dilinin varlığı, etkinliğin Almanca konuşan CrowdStrike müşterilerine yönelik olduğunu göstermektedir.

CrowdStrike, "Tehdit aktörü, bu kampanya sırasında adli tıp karşıtı tekniklere odaklandıkları için operasyon güvenliği (OPSEC) uygulamalarının oldukça farkında görünüyor" dedi.

"Örneğin, aktör bunun altında bir alt alan adı kaydettirdi[.] com alan adı, alan adı kayıt ayrıntılarının tarihsel analizini engeller. Ek olarak, yükleyici içeriğini şifrelemek ve parola olmadan daha fazla etkinliğin oluşmasını önlemek, daha fazla analiz ve ilişkilendirmeyi engeller."

Gelişme, hırsız ve silici kötü amaçlı yazılım kötü amaçlı yazılımlarını yaymak için CrowdStrike güncelleme sorunundan yararlanan bir kimlik avı saldırısı dalgasının ortasında geliyor -

• Bir kimlik avı etki alanı crowdstrike-office365[.] com, sonuçta Lumma adlı bir emtia bilgi hırsızını yürüten bir Microsoft Installer (MSI) yükleyicisi içeren sahte arşiv dosyalarını barındırıyor.

• Connecio olarak izlenen ve sistem bilgilerini, harici IP adresini ve çeşitli web tarayıcılarından veri toplayan ve bunları bir Pastebin teslim edilemeyen URL'sinde listelenen SMTP hesaplarına aktaran Python tabanlı bir bilgi hırsızı içeren bir ZIP dosyası ("CrowdStrike Falcon.zip").
• Handala Hacking Team tarafından düzenlenen ve alıcıları bir "kesinti düzeltmesi" indirmeleri için kandıran ve bir veri silici başlatmak ve Telegram'ın API'si aracılığıyla sistem bilgilerini sızdırmak için bir AutoIt komut dosyasını paketinden çıkarmaktan ve yürütmekten sorumlu bir yükleyiciyi başlatan İsrailli kuruluşları hedef alan bir e-posta kimlik avı kampanyası.

Web altyapısı ve güvenlik şirketi Akamai, kötü amaçlı yazılım tanıtmak veya hassas bilgileri çalmak amacıyla teknik destek, hızlı düzeltmeler veya yasal destek olsun, olayda gezinmeye yardımcı olduğunu iddia eden en az 180 yeni oluşturulmuş sahte typosquat alan adını ortaya çıkardığını söyledi.

Perşembe günü, CrowdStrike'ın CEO'su George Kurtz, küresel BT kesintisi sırasında çevrimdışı olan Windows cihazlarının %97'sinin artık çalışır durumda olduğunu söyledi.

"CrowdStrike'ta misyonumuz, operasyonlarınızı koruyarak güveninizi kazanmaktır. Bu kesintinin neden olduğu aksaklık için çok üzgünüm ve etkilenen herkesten kişisel olarak özür dilerim" dedi. "Mükemmelliği vaat edemesem de, odaklanmış, etkili ve aciliyet duygusu olan bir yanıt sözü verebilirim."

Daha önce, şirketin baş güvenlik görevlisi Shawn Henry, "iyi insanları kötü şeylerden koruyamadığı" için özür diledi ve "korumayı taahhüt ettiğimiz insanları hayal kırıklığına uğrattı" dedi.

Henry, "Yıllar boyunca damlamalara duyduğumuz güven, saatler içinde kovalarda kayboldu ve bu içgüdüsel bir yumruktu" dedi. "Sizi hedef alan düşmanları bozmak için ihtiyaç duyduğunuz korumayı sağlayarak güveninizi yeniden kazanmaya kararlıyız. Bu gerilemeye rağmen, misyon devam ediyor."

Bu arada, Bitsight'ın CrowdStrike makineleri tarafından küresel olarak kuruluşlar arasında sergilenen trafik kalıplarına ilişkin analizi, ek soruşturma gerektirdiğini söylediği iki "ilginç" veri noktasını ortaya çıkardı.

Güvenlik araştırmacısı Pedro Umbelino, "İlk olarak, 16 Temmuz'da saat 22:00 civarında büyük bir trafik artışı oldu, ardından kuruluşlardan CrowdStrike'a çıkış trafiğinde net ve önemli bir düşüş oldu" dedi. "İkincisi, 19'unun şafağından sonra CrowdStrike Falcon sunucularına bağlı benzersiz IP'lerin ve kuruluşların sayısında %15 ile %20 arasında önemli bir düşüş oldu."

"Ayın 16'sındaki trafik düzenindeki değişikliğin temel nedeninin neye atfedilebileceğini çıkaramasak da, '16'sındaki gözlemler ile 19'undaki kesinti arasında herhangi bir ilişki var mı?' şeklindeki temel soruyu garanti ediyor."

Son Durum

BT kesintisinin tam etkisi henüz hesaplanmamış olsa da, bulut sigorta hizmetleri firması Parametrix Solutions, olayın Fortune 500 şirketlerinin yaklaşık dörtte birini etkilediğini ve sağlık hizmetleri için 1,94 milyar dolar, bankacılık için 1,15 milyar dolar ve havayolları sektörü için 0,86 milyar dolar dahil olmak üzere 5,4 milyar dolarlık (Microsoft hariç) doğrudan mali kayıpla sonuçlandığını tahmin ediyor.

Microsoft'un Windows hizmet ve teslimatı için program yönetimi başkan yardımcısı John Cable, olayın "her kuruluşta görev açısından kritik esnekliğe duyulan ihtiyacın altını çizdiğini" söyledi.

Cable, "Bu iyileştirmeler, güvenlikte devam eden iyileştirmelerle el ele gitmeli ve Windows ekosisteminin güvenliğini de derinden önemseyen birçok ortağımızla yakın işbirliği içinde olmalıdır" dedi ve işletmeleri büyük bir olay müdahale planına (MIRP) sahip olmaya, periyodik olarak veri yedeklemeleri almaya, dağıtım halkalarını kullanmaya ve Windows güvenlik temellerini etkinleştirmeye çağırdı.

Windows'taki tehditleri algılamak için çekirdek düzeyinde erişim gerektiren uç nokta algılama ve yanıt (EDR) yazılımıyla, yıkıcı olay, Microsoft'un tüm yaklaşımı yeniden düşünmesi için istenen etkiye de sahip görünüyor.

Redmond, Mayıs ayında tanıttığı sanallaştırma tabanlı güvenlik (VBS) bölgeleri gibi alternatif özelliklerin, üçüncü taraf geliştiriciler tarafından "çekirdek modu sürücülerinin kurcalamaya dayanıklı olmasını gerektirmeyen yalıtılmış bir bilgi işlem ortamı" oluşturmak için kullanılabileceğini söyledi. Başka bir güvenlik çözümü olan Azure Doğrulama, "bir platformun güvenilirliğinin ve içinde çalışan ikili dosyaların bütünlüğünün" uzaktan doğrulanmasını sağlar.

Microsoft ayrıca, sorunun "CrowdStrike tarafından geliştirilen CSagent.sys sürücüsündeki sınır dışı okuma bellek güvenliği hatası" nedeniyle ortaya çıktığını ve bu tür çekirdek sürücülerinin, güvenlikle ilgili olaylara sistem genelinde görünürlük kazandırmak yerine, kurcalamaya karşı koruma ve performans iyileştirmeleri için kullanıldığını açıkladı.

Microsoft'un kurumsal ve işletim sistemi güvenliğinden sorumlu başkan yardımcısı David Weston, "Windows, satıcıların temel güvenlik süreçlerini korumak için kullanabilecekleri Sanallaştırma tabanlı güvenlik (VBS) Enclaves ve Korumalı Süreçler gibi kurcalamaya karşı koruma için çeşitli kullanıcı modu koruma yaklaşımları sağlar" dedi.

"Windows ayrıca ETW olayları ve olay görünürlüğü için Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü gibi kullanıcı modu arayüzleri sağlar. Bu sağlam mekanizmalar, güvenlik ve sağlamlığı dengeleyen bir güvenlik çözümü oluşturmak için gereken çekirdek kodu miktarını azaltmak için kullanılabilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.