Kaspersky uzmanları Nisan ayında daha evvel keşfedilmemiş Google Chrome ve Microsoft Windows sıfır gün açıklarını Büyükesat Escort kullanarak çok sayıda şirketi hedefleyen bir taarruz dizisi keşfetti Kelam konusu istismarlardan biri Chrome web tarayıcısında uzaktan kod yürütmek için kullanılırken başkası ise Windows 10’un en yeni ve bariz yapılarını Elvankent Escort maksat almak üzere iki farklı ayrıcalık yükseltme istismarını temel alıyor Bunlar İşletim Sistemi Çekirdeği Bilgi Açıklama Güvenlik Açığı CVE 2021 31955 ve Ayrıcalık Yükseltme Güvenlik Açığı CVE 2021 31956 olarak Beşevler Escort listeleniyor Microsoft her iki açığı da yamadığını duyurdu
Son aylarda sıfır gün açıklarını kullanan yeni bir gelişmiş tehdit dalgası alanda öne çıktı Nisan ayının ortalarında Kaspersky uzmanları saldırganların hedeflenen ağları gizlice ele geçirmesine imkan tanıyan çok sayıda şirkete yönelik yeni bir yüksek seviyede amaçlı açıklardan yararlanan yeni bir tehdit dalgası keşfetti
Kaspersky bu ataklarla bilinen tehdit aktörleri ortasında şimdi bir temas bulamadı Bu nedenle bu yeni oyuncuya PuzzleMaker ismi verildi
Saldırılar Chrome tarayıcısı üzerinden gerçekleştirildi ve uzaktan kod yürütmeye müsaade veren bir açıktan yararlanıldı Kaspersky araştırmacıları uzaktan yürütme açığının kodunu alamamış olsa da vakit çizelgesi ve kullanım aktiviteleri saldırganların şu anda yamanmış olan CVE 2021 21224 güvenlik açığını kullandığını gösteriyor Bu güvenlik açığı Chrome ve Chromium web tarayıcıları tarafından kullanılan bir JavaScript motoru olan V8’deki Çeşit Uyuşmazlığı kusuruyla ilgili ve saldırganların Chrome derleyici sürecinden yararlanmalarına imkan tanır
Bununla birlikte Kaspersky uzmanları Microsoft Windows işletim sistemi çekirdeğindeki iki farklı güvenlik açığından yararlanan ikinci istismarı bulup tahlil etmeyi başardı Hassas çekirdek bilgilerini sızdıran bu güvenlik açığı CVE 2021 31955 olarak işaretlendi Bu açık birinci olarak Windows Vista ile tanıtılan ve yaygın olarak kullanılan uygulamaları belleğe evvelce yükleyerek yazılım yükleme müddetlerini azaltmayı amaçlayan bir özellik olan SuperFetch ile irtibatlı
Saldırganların çekirdekten yararlanmasına ve bilgisayara erişim elde etmesine imkan tanıyan ikinci güvenlik açığı CVE 2021 31956 ismiyle biliniyor ve yığın tabanlı arabellek taşmasına karşılık geliyor Saldırganlar rastgele bellek okuma yazma prensipleri oluşturmak ve sistem ayrıcalıklarıyla makus hedefli yazılım modüllerini yürütmek için Windows Bildirim Tesisi WNF ile birlikte CVE 2021 31956 güvenlik açığını kullanıyor
Saldırganlar hedeflenen sisteme yerleşmek için hem Chrome hem de Windows açıklarından yararlandıktan sonra basamaklı bir modül yardımıyla uzak sunucudan daha karmaşık bir berbat gayeli yazılımı indirip çalıştırıyor Daha sonra Microsoft Windows işletim sistemine ilişkin legal evraklar üzere görünen iki çalıştırılabilir belge yükleniyor Bu belgelerden ikincisi belgeleri indirip yükleyebilen vazifeler oluşturabilen makul mühlet boyunca uyuyabilen ve virüs bulaşmış sistemden kendisini silebilen bir uzak kabuk modülüne karşılık geliyor
Microsoft her iki Windows güvenlik açığı için yamaları yayınladı
Küresel Araştırma ve Tahlil Takımı GReAT Kıdemli Güvenlik Araştırmacısı Boris Larin şunları söz ediyor Bu ataklar yüksek oranda hedeflenmiş olsa da onları şimdi bilinen rastgele bir tehdit aktörüne bağlamadık Bu nedenle gerisindeki aktöre PuzzleMaker ismini verdik Bu kümenin gelecekteki faaliyetlerini yahut yeni bilgiler için güvenlik ortamını yakından izleyeceğiz Genel olarak son vakitlerde sıfır gün açıklarından kaynaklanan yüksek profilli tehdit faaliyeti dalgası görüyoruz Sıfır gün açıkları maksada bulaşmak için en tesirli formül olmaya devam ediyor Ayrıyeten kelam konusu güvenlik açıkları artık bilinir hale geldiğinden başka tehdit aktörleri tarafından akınlarda kullanıldığını görmemiz mümkün Bu nedenle kullanıcıların Microsoft’un yayınladığı en son yamaları mümkün olan en kısa müddette yüklemeleri gerekiyor .”
Kaspersky eserleri üstteki güvenlik açıklarına ve ilgili berbat maksatlı yazılım modüllerine yönelik istismarı algılıyor ve bunlara karşı muhafaza sağlıyor
Kuruluşunuzu üstteki güvenlik açıklarından yararlanan hücumlardan korumak için Kaspersky uzmanları şunları öneriyor
- Chrome tarayıcınızı ve Microsoft Windows’u mümkün olan en kısa müddette güncelleyin ve bunu nizamlı olarak yapın
- Kaspersky Endpoint Security for Business üzere berbata kullanımı tedbire davranış algılama ve berbat maksatlı aksiyonları geri alabilen bir düzeltme motoruyla desteklenen muteber bir uç nokta güvenlik tahlili kullanın
- Tehdit keşfi ve tespiti soruşturma ve olayların vaktinde düzeltilmesi için yetenekler sunan anti APT ve EDR tahlilleri kurun SOC grubunuza en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle marifetlerini sistemli olarak güncelleyin Üsttekilerin tümü Kaspersky Expert Security framework dahilinde mevcuttur
- Uygun uç nokta müdafaasının yanı sıra özel hizmetler yüksek profilli akınlara karşı yardımcı olabilir Kaspersky Managed Detection and Response hizmeti saldırganlar gayelerine ulaşmadan evvel atakları erken evrelerinde belirlemenize ve durdurmanıza yardımcı olur
Kaynak BHA Beyaz Haber Ajansı
