Bu siber casusluk operasyonunda saldırganlar, yasal yükleyiciyi, ESET’in SlowStepper adını verdiği ve 30’dan fazla bileşenden oluşan bir araç setine ve zengin özelliklere sahip bir arka kapı olan grubun imza implantını da dağıtan bir yükleyiciyle değiştirdiler. Çin’e bağlı tehdit aktörü en az 2019’dan beri aktif. Çin, Tayvan, Hong Kong, Güney Kore, Amerika Birleşik Devletleri ve Yeni Zelanda’daki kişi ve kuruluşlara karşı casusluk operasyonları yürütüyor.

 Keşfi yapan ESET araştırmacısı Facundo Muñoz “Mayıs 2024’te, Güney Kore’deki kullanıcıların yasal VPN yazılımı IPany’nin web sitesinden indirdikleri Windows için bir NSIS yükleyicisinde kötü amaçlı kod tespit ettik. Analizin daha sonrasında yükleyicinin hem yasal yazılımı hem de arka kapıyı dağıttığını keşfettik. VPN yazılımının geliştiricisiyle temasa geçerek durumu bildirdik ve kötü amaçlı yükleyici web sitelerinden kaldırıldı. PlushDaemon araç setindeki çok sayıda bileşen ve zengin sürüm geçmişi, daha önce bilinmeyen bu Çin bağlantılı APT grubunun çok çeşitli araçlar geliştirmek için özenle çalıştığını gösteriyor ve bu da onu dikkat edilmesi gereken önemli bir tehdit haline getiriyor” açıklamasını yaptı. 

 PlushDaemon, trafiği saldırgan kontrolündeki sunuculara yönlendirerek Çin uygulamalarının meşru güncellemelerini ele geçirme tekniğiyle ilk erişimi elde ediyor. ESET, grubun yasal web sunucularındaki güvenlik açıkları üzerinden erişim sağladığını da gözlemledi.

SlowStepper arka kapısı sadece PlushDaemon tarafından kullanılmaktadır. Bu arka kapı, DNS kullanan çok aşamalı C&C protokolünün yanı sıra casusluk yeteneklerine sahip düzinelerce ek Python modülünü indirme ve çalıştırma yeteneği ile dikkat çekiyor. Kötü amaçlı yazılım web tarayıcılarından çok çeşitli veriler toplar; fotoğraf çekebilir, belgeleri tarar, mesajlaşma uygulamaları (örneğin WeChat, Telegram) dahil olmak üzere çeşitli uygulamalardan bilgi toplar, ses ve video yoluyla casusluk yapabilir ve parola kimlik bilgilerini çalabilir.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Bu güvenlik açığının istismar edilmesi, sistem önyüklemesi sırasında güvenilmeyen kodun yürütülmesine yol açabilir ve potansiyel saldırganların, yüklü işletim sisteminden bağımsız olarak UEFI Güvenli Önyükleme’nin etkin olduğu sistemlerde bile kötü amaçlı UEFI önyükleme kitlerini (Bootkitty veya BlackLotus gibi) kolayca dağıtmasına olanak tanır.

ESET , bulguları Haziran 2024’te CERT Koordinasyon Merkezi’ne (CERT/CC) bildirmiş ve bu merkez de etkilenen satıcılarla başarılı bir şekilde iletişime geçmişti. Sorun, etkilenen ürünlerde düzeltildi. Eski, savunmasız ikili dosyalar Microsoft tarafından 14 Ocak 2025 Salı günü yama güncellemesinde iptal edildi.Etkilenen UEFI uygulaması Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. ve Signal Computer GmbH tarafından geliştirilen çeşitli gerçek zamanlı sistem kurtarma yazılımı paketlerinin bir parçasıdır. 

Güvenlik açığını keşfeden ESET araştırmacısı Martin Smolár yaptığı açıklamada şunları söyledi: “Son yıllarda keşfedilen UEFI güvenlik açıklarının sayısı ve bunların yamanması ya da güvenlik açığı bulunan ikili dosyaların makul bir süre içinde iptal edilmesindeki başarısızlıklar, UEFI Secure Boot gibi temel bir özelliğin bile aşılmaz bir bariyer olarak görülmemesi gerektiğini gösteriyor. Ancak bu güvenlik açığıyla ilgili olarak bizi en çok endişelendiren şey, benzer durumlara kıyasla oldukça iyi olan ikiliyi düzeltmek ve iptal etmek için geçen süre değil, bu kadar açık bir şekilde güvenli olmayan imzalı bir UEFI ikilisinin keşfedilmesinin ilk olmayışıdır. Bu durum, üçüncü taraf UEFI yazılım satıcıları arasında bu tür güvensiz tekniklerin kullanımının ne kadar yaygın olduğu ve dışarıda kaç tane benzer belirsiz ama imzalı önyükleyici olabileceği sorularını gündeme getiriyor.”

Saldırganlar, Microsoft üçüncü taraf UEFI sertifikasının kayıtlı olduğu herhangi bir UEFI sistemine savunmasız ikilinin kendi kopyasını getirebildiğinden bu güvenlik açığından yararlanma, etkilenen kurtarma yazılımının yüklü olduğu sistemlerle sınırlı değil. Ayrıca savunmasız ve kötü amaçlı dosyaları EFI sistem bölümüne dağıtmak için yükseltilmiş ayrıcalıklar gerekli (Windows’ta yerel yönetici; Linux’ta root). Güvenlik açığı, standart ve güvenli UEFI işlevleri LoadImage ve StartImage yerine özel bir PE yükleyicinin kullanılmasından kaynaklanıyor. Microsoft üçüncü taraf UEFI imzalamasının etkin olduğu tüm UEFI sistemleri etkilenmektedir (Windows 11 Secured-core PC’lerde bu seçenek varsayılan olarak devre dışı bırakılmalıdır).

Güvenlik açığı, Microsoft’un en son UEFI iptalleri uygulanarak azaltılabilir. Windows sistemleri otomatik olarak güncellenmelidir. 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Gelişmiş, yapay zekâ odaklı tehdit tespitine duyulan ihtiyaç her geçen gün artıyor. Bununla birlikte BT liderlerinin siber güvenlik sistemi kaynak ihtiyaçlarını uzaktan ve hibrit çalışma gereksinimleriyle senaryolarının ve yapay zekâ iş yüklerinin performans ve üretkenlik dengelemesi  gerekiyor. Donanım sağlayıcılarının yalnızca Merkezi İşlemciler (CPU) ve Grafik İşlemcileri (GPU) içeren “Yapay Zeka Bilgisayarları” ile değil, aynı zamanda belirli iş yükü türleri için optimize edilmiş işlemler gerçekleştiren Sinirsel İşlem Birimleri (NPU) ile de ortak çalışması gerekiyor. Uç nokta güvenlik araçları da bu artan işlem kaynaklarından yararlanmalı, kullanıcıların işlem kaynaklarını veya pillerini tüketmekten kaçınmak için sistem performansına düşük etkiyi sürdürürken korumayı iyileştirmelidir. 

ESET, müşterilerinin bu hız ve verimlilik artışından tam olarak yararlanabilmeleri için uç nokta ürünlerini, mevcut tüm işlem motorlarını en iyi kullanacak şekilde tasarlıyor. ESET uç nokta güvenlik yazılımı, Intel® Core Ultra tabanlı bilgisayarlarla eşleştirildiğinde, artık yoğun işlem gerektiren iş yüklerini CPU’dan Intel entegre (GPU) veya (NPU)’ya otomatik olarak aktarabiliyor. Bu sayede video konferans ve veri analizi gibi iş açısından kritik ve performans açısından yoğun görevler için CPU’dan tasarruf edilebilir ve sistem verimliliği artırılabilir.

NPU bilgi işlem ile uç nokta performansını ve verimliliğini artırma

ESET’in attığı evrimsel adım, Intel’in Core Ultra işlemcisinin mimarisindeki (NPU) belirli avantajlarından yararlanarak, NPU üzerinde yürütülmesinden yararlanabilecek uç nokta ürünlerimizdeki yapay zekâ iş yüklerinin dağıtımını yönetiyor. İş yüklerinin Intel Core Ultra içindeki GPU veya NPU’ya dağıtılması
işlemci de korumayla ilgili performanstan ödün vermeden daha iyi güç kullanımı sağlayabilir. Bu, ESET’in nöral model hesaplamalarının ölçeğini, olumsuz verimlilik veya performans etkisi olmadan müşterilerin uç nokta esnekliğini iyileştirmek için etkili bir şekilde artırır. ESET güvenlik ürünleri, yapay zekâ veya makine öğrenimi hesaplamaları gibi performans açısından ağır görevlerde yardım için NPU’yu çağırabildiğinden tespitlerin işlenmesi için gereken süre azalacak ve işlemler daha da verimli hale gelecek.

Daha fazla yapay zekâlı bilgisayar olasılığı

Yapay zekâlı bilgisayar mimarisinin potansiyelini araştırmak, ESET’in siber güvenliği ve kullanıcı deneyimini geliştirmek için Intel ile birlikte araştırdığı alanlardan sadece biri. Diğer olasılıklar arasında NPU’nun kullanımı da yer alıyor:

• Belirli bir kötü amaçlı yazılım ailesine özgü küçük sinir ağı modelleri oluşturmak. Bu, bu kötü amaçlı yazılım türlerinin daha hızlı, daha tutarlı ve daha kesin bir şekilde tespit edilmesini sağlayacak.
• Kimlik avı ve diğer dolandırıcılıkları belirlemek veya yetişkinlere yönelik içerik filtrelemeyi geliştirmek için sinir ağları kullanarak görüntü tanıma. 
• Hem adli tıp hem de dokümantasyonu iyileştirmek amacıyla uç nokta olay tespitlerini tanımlamak için büyük dil modellerinden (LLM’ler) yararlanma.

ESET’in Intel gibi inovasyon ortaklarıyla süregelen iş birliği, artan ürün iyileştirmelerinin ötesine geçme ve bunun yerine siber güvenlik ortamını yeniden şekillendiren önemli sıçramalar yapma ihtiyacının altını çiziyor. Uç nokta güvenliğinin geleceği, yapay zekâ bilgi işlem kaynaklarını kapsayan ve hibrit ve uzaktan çalışma senaryolarını destekleyen bütünleşmiş çok katmanlı bir donanım ve yazılım yaklaşımı. 

ESET’in Ar-Ge ekibi, yapay zekâ bilgisayarlarına güç sağlamak için üretilen gelecek nesil işlemcilerde Intel ile birlikte yenilikler yapmaya devam edecek. CPU, GPU ve NPU’dan yararlanan ortak inovasyon alanı, işletmeleri hem bilinen hem de bilinmeyen tehditlerden korumaya ve yazılım ile donanım tabanlı siber güvenlik teknolojileri arasındaki kritik arayüzü geleceğe hazırlamaya hizmet ediyor.  

Kaynak: (BYZHA) Beyaz Haber Ajansı

ESET tehdit algılama ve araştırma uzmanlarının bakış açılarına yer veren rapora göre deepfake dolandırıcılıklar, yüzde 335 oranında artış göstererek sosyal medya kullanıcılarını hileli yatırım planlarıyla giderek daha fazla hedef alıyor. Kripto para cüzdan verileri kötü niyetli aktörlerin başlıca hedeflerinden biriydi; artış en dramatik şekilde macOS’ta görüldü. Bilgi hırsızları arasında, uzun süredir baskın olan Agent Tesla kötü amaçlı yazılımının yerini Formbook aldı; Lumma Stealer yaklaşık yüzde 400 oranında arttı.

ESET, Haziran’dan Kasım 2024’e kadar ESET telemetrisinde görülen tehdit ortamı eğilimleri Tehdit Raporu’nu yayımladı. Verilere göre  bilgi hırsızları arasında uzun süredir baskın olan Agent Tesla kötü amaçlı yazılımının yerini Formbook aldı. Lumma Stealer da siber suçlular tarafından giderek daha fazla rağbet görmeye başladı ve 2024’ün ikinci yarısında birçok önemli kötü amaçlı kampanyada yer aldı. ESET telemetrisinde tespit edilme oranı  yüzde 369 arttı. Sosyal medyada, kurbanları hileli yatırım planlarına çekmek için deepfake videolar ve şirket adına gönderiler kullanan yeni dolandırıcılıklar ortaya çıktı. ESET tarafından HTML/Nomani olarak takip edilen bu dolandırıcılıklar, raporlama dönemleri arasında tespitlerde yüzde 335 artış gösterdi. En çok tespit yapılan ülkeler Japonya, Slovakya, Kanada, İspanya ve Çekya oldu.

ESET Tehdit Algılama Direktörü Jiří Kropáč yaptığı açıklamada şunları söyledi: “2024’ün ikinci yarısı, siber suçluları, savunmacılarla oynanan her zamanki kedi-fare oyununda güvenlik açıkları bulmakla ve kurban havuzlarını genişletmenin yenilikçi yollarını bulmakla meşgul etmiş gibi görünüyor. Yeni saldırı vektörleri ve sosyal mühendislik yöntemleri, telemetrimizde hızla yükselen yeni tehditler ve daha önce kurulmuş olan rütbelerin sarsılmasına yol açan kaldırma operasyonları gördük.”

Bilgi hırsızları arasında, kötü şöhretli “hizmet olarak bilgi hırsızı” Redline Stealer, Ekim 2024’te uluslararası yetkililer tarafından çökertildi. Ancak Redline Stealer’ın ölümünün diğer benzer tehditlerin yayılmasına yol açması bekleniyor. Fidye yazılımı ortamı, eski lider LockBit’in ortadan kaldırılmasıyla yeniden şekillendi ve diğer aktörler tarafından doldurulacak bir boşluk yarattı. Bir hizmet olarak fidye yazılımı olan RansomHub, H2 2024’ün sonuna kadar yüzlerce kurban biriktirdi ve kendisini yeni baskın oyuncu olarak belirledi. Çin, Kuzey Kore ve İran bağlantılı APT grupları fidye yazılımı saldırılarına daha fazla dahil olmaya başladı.

Kripto dünyası dolandırıcıların da ilgisini topluyor 

Kripto para birimlerinin 2024’ün ikinci yarısında rekor değerlere ulaşmasıyla birlikte kripto para cüzdan verileri kötü niyetli aktörlerin başlıca hedeflerinden biri oldu. Telemetri sonuçlarımıza göre bu durum, birden fazla platformda kripto hırsızlığı tespitlerinde artış olarak yansıdı. Artış en dramatik şekilde macOS’ta gerçekleşti ve burada ağırlıklı olarak kripto para cüzdanı kimlik bilgilerini hedef alan Parola Çalmaya Yönelik Yazılımlar (Password-Stealing Ware) H1’e kıyasla iki kattan fazla arttı. Mac cihazlarından hassas verileri toplamak ve dışarı sızdırmak için tasarlanan kötü amaçlı yazılım AMOS (Atomic Stealer olarak da bilinir) bu artışa önemli bir katkıda bulundu. Bankacılık uygulamalarının yanı sıra kripto para cüzdanlarını da hedef alan Android finansal tehditleri yüzde 20 oranında arttı.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Bu amaçla ESET, IBM QRadar SIEM ile entegrasyon yolculuğuna devam ediyor. ESET PROTECT Platformu ve IBM QRadar SIEM arasındaki entegrasyon, ESET’in yapay zekâya dayalı siber güvenlik platformunu QRadar’ın güvenlik bilgileri ve olay yönetimi (SIEM) yetenekleriyle birleştiriyor. Bu, ESET’ten gelen tehdit verilerinin QRadar SIEM tarafından alınmasını sağlayarak kurumsal güvenliği geliştirmek için görünürlük ve eyleme geçirilebilir içgörüler sağlar. Tek bir hamlede, uç nokta faaliyetlerinin izlenmesi ve bir kuruluştaki birden fazla perimetrede tehditlerin tanımlanmasındaki zorlukların üstesinden geliniyor. 

Bu tür entegrasyonlar, karmaşıklığı azaltırken daha iyi siber hijyeni teşvik ediyor. Böylece bir kuruluşun güvenlik seviyesini önemli ölçüde artırabiliyor. Tehdit avlama ve olay müdahale yetenekleri yükseltilebiliyor. Bu, güvenlik analistlerinin hızlı ama tatmin edici güvenlik kararları almalarına yardımcı olmalı, süreçlerinin kalitesini ve verimliliğini artırmalıdır. ESET, Microsoft Sentinel ile de entegre olarak kurumların gelişmiş izleme, analiz ve olay müdahalesi için ESET tehdit algılama verilerini MS Sentinel’e almasını sağlıyor. ESET tarafından geliştirilen veri bağlayıcısı, algılama günlüklerinin alınmasını otomatikleştirmek için ForREST API kullanıyor. Merkezi bir platformda sürekli güvenlik içgörüleri sunuyor. Entegrasyon, veri aktarımını otomatikleştirerek, uç nokta verilerini bulut güvenliği ile ilişkilendirerek ve genellikle oldukça karmaşık olabilen olay yönetimini kolaylaştırarak manuel müdahaleyi azaltıyor. 

ESET İşletme Direktörü Pavol Balaj yaptığı açıklamada şunları söyledi: “Müşteriler siber güvenlik yığınlarını birleştirdikçe ve sorunsuz entegrasyonlar talep ettikçe ESET tam olarak ihtiyaç duydukları şeyi sunuyor. Yapay zekâya dayalı ESET PROTECT Platformumuz, güçlü tespit motoruyla büyük SIEM oyuncuları Microsoft Sentinel ve IBM QRadar SIEM ile sorunsuz bir şekilde entegre olarak ortamlarında kapsamlı görünürlük sağlıyor. Bu entegrasyonlar eyleme geçirilebilir hızlı tespit sunarak odağı, yavaş düzeltme ve karmaşıklıktan erken önleme ve gelişmiş güvenlik verimliliğine kaydırır. Sonuçta bu, müşterilerimizin daha düzenli, etkili ve proaktif bir siber güvenlik duruşu elde etmelerini sağlıyor.”

Kaynak: (BYZHA) Beyaz Haber Ajansı

30 yılı aşkın süredir siber güvenliğin ön saflarında yer alan ESET sektör lideri BT güvenlik yazılımları ve hizmetleri sağlıyor. Gelişmiş tehdit algılama yetenekleriyle tanınan ESET, çok çeşitli dijital tehditlere karşı kapsamlı koruma sunuyor. Yüksek performanslı ve kullanımı kolay olacak şekilde tasarlanan ESET PROTECT Platformu çözümleriyle işletmelerin ve tüketicilerin güvenlikten ödün vermeden, teknolojilerinin tüm potansiyelinden yararlanabilmeleri sağlanıyor. Araştırma ve geliştirmeye güçlü bir şekilde odaklanan ESET, ortaya çıkan tehditlerin bir adım önünde olmak ve en yeni güvenlik çözümlerini sunmak için sürekli yenilikler yapıyor.

En yeni güvenlik çözümleriyle tehditlerin bir adım önünde

Yapay zekâ odaklı otomasyonda  öncü olan Mindflow teknik engelleri azaltarak ve uzmanlığa sahip bireylerin BT ve güvenlik operasyonlarını otomatikleştirmelerini sağlayarak kuruluşları güçlendiriyor.  Mindflow  platformu, tekrarlayan görevleri otomatikleştirerek 4 binden fazla hizmet ve 150 bin işlemle sorunsuz bir şekilde entegre olarak operasyonel verimliliği artırmak için tasarlanmıştır. Bu da Mindflow‘u dünyanın en büyük kataloğu haline getiriyor. Özünde yapay zekâyı barındıran Mindflow, kuruluşların güvenlik stratejilerini yapay zekâ tarafından desteklenen sürekli gelişen tehditlere uyarlamalarını ve güvenlik olaylarına otomasyon ve yapay zekâ ajanlarıyla daha hızlı ve doğru bir şekilde yanıt vermelerini sağlıyor. Platformun esnekliği ve ölçeklenebilirliği, onu büyük işletmelerden yönetilen hizmet sağlayıcılara (MSP’ler) kadar en karmaşık ortamlar için bile uygun hale getiriyor.

ESET ve Mindflow arasındaki entegrasyon, bu benzersiz güçleri birleştirerek sorunsuz veri alışverişi ve otomatik iş akışları sağlıyor. Bu ortaklık, güvenlik yönetiminin artan karmaşıklığını, kaynak kısıtlamalarını ve güvenlik olaylarına hızlı yanıt verme ihtiyacını ele alarak güvenlik operasyonlarının verimliliğini ve etkinliğini önemli ölçüde artırıyor. 

Sağlanan temel avantajlar

Gelişmiş tehdit tespiti ve müdahalesi: Entegrasyon, ESET’in gelişmiş tehdit istihbaratından ve Mindflow’un otomasyon yeteneklerinden yararlanarak gerçek zamanlı içgörüler ve otomatik olay müdahalesi sağlar. Tehditleri tespit ve analiz edip azaltmak için gereken süreyi azaltır.

Operasyonel verimlilik: Entegrasyon, rutin güvenlik görevlerini otomatikleştirerek değerli BT kaynaklarını serbest bırakır. Güvenlik ekiplerinin daha stratejik girişimlere odaklanmasını sağlar ve insan hatası riskini azaltır.

Kapsamlı uyumluluk raporlaması: Otomatik uyumluluk raporlaması, kuruluşların yasal gereklilikleri kolaylıkla ve doğrulukla karşılayabilmesini sağlayarak BT ekipleri üzerindeki idari yükü azaltır.

Ölçeklenebilirlik ve esneklik: Entegrasyon çok çeşitli platformları destekler. Hem bulut tabanlı hem de şirket içi dağıtım seçenekleri sunarak kuruluşların çözümleri mevcut altyapılarına en uygun şekilde dağıtabilmelerini sağlar.

ESET Business Cloud Çözümleri Ürün Müdürü Jozef Cheben yaptığı açıklamada şunları söyledi : “ESET, her entegrasyonla birlikte güvenlik operasyonları için küresel çapta daha fazla verimlilik sağlıyor. Mindflow ile olan ortaklığımız, otomasyonun gücü sayesinde iş akışlarının kolaylaştırılması, olaylara müdahale sürelerinin iyileştirilmesi ve insan hatalarının azaltılması gibi daha fazla iyileştirme sağlıyor. Bu da nihayetinde tespit, önleme ve müdahale arasındaki boşlukları doldurarak güvenlik ve BT operasyonlarını güçlendiriyor.” 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Unified Extensible Firmware Interface kelimelerinin kısaltması olan UEFI, anakart kontrol yazılımı olarak biliniyor. UEFI işletim sistemi başlatılmadan önce, bilgisayar çalıştığında harekete geçen bir yazılım. Siber suçlular UEFI kodunu değiştirirse bu kodu kurbanın sistemine kötü amaçlı yazılım göndermek için kullanabilmeleri de mümkün oluyor. Bootkitise sahibinin bilgisi olmadan bilgisayar üzerinde düşük düzeyde kontrol elde etmek için tasarlanmış bir tür kötü amaçlı yazılım olarak tanımlanıyor. 

Kasım 2024’te VirusTotal’a bootkit.efi adlı daha önce bilinmeyen bir uygulama yüklendikten sonra  ESET Research yaptığı incelemede bunun bir UEFI uygulaması olduğunu keşfetti. Yapılan derinlemesine analizler sonrasında, yaratıcıları tarafından Bootkitty olarak adlandırılan bir UEFI önyükleme kiti olduğunu doğruladı; şaşırtıcı bir şekilde, Linux’u özellikle birkaç Ubuntu sürümünü hedef alan ilk UEFI önyükleme kitidir. Bootkit, bunun bir tehdit aktörünün çalışmasından çok bir kavram kanıtı olduğunu düşündüren birçok eser içeriyor.

Bootkitty kendinden imzalı bir sertifika ile imzalanmış, bu nedenle varsayılan olarak UEFI güvenli önyüklemenin etkin olduğu sistemlerde çalışamaz. Ancak Bootkitty, bütünlük doğrulamasından sorumlu gerekli işlevleri bellekte yamaladığı için UEFI güvenli önyükleme etkin olsun ya da olmasın Linux çekirdeğini sorunsuz bir şekilde önyüklemek üzere tasarlanmıştır.  Bootkit, önyükleme yükleyicisinin yerini alabilen ve yürütülmeden önce çekirdeğe yama uygulayabilen gelişmiş bir rootkit’tir. Bootkitty, makinenin önyükleme sürecini ele geçirdiği ve işletim sistemi daha başlamadan kötü amaçlı yazılımı çalıştırdığı için saldırganın etkilenen makine üzerinde tam kontrol sahibi olmasını sağlar.

Analiz sırasında ESET, Bootkitty ile aynı yazarlar tarafından geliştirilmiş olabileceğini düşündüren işaretlerle birlikte ESET’in BCDropper olarak adlandırdığı muhtemelen ilişkili imzasız bir çekirdek modülü keşfetti. Analiz sırasında bilinmeyen başka bir çekirdek modülünü yüklemekten sorumlu bir ELF ikili dosyası dağıtıyor.

Bootkitty’yi analiz eden ESET araştırmacısı Martin Smolár şu açıklamayı yaptı : “Bootkitty, bunun bir tehdit aktörünün çalışmasından çok bir kavram kanıtı olduğunu düşündüren birçok eser içeriyor.  VirusTotal’daki mevcut sürüm, yalnızca birkaç Ubuntu sürümünü etkileyebildiği için şu anda Linux sistemlerinin çoğu için gerçek bir tehdit oluşturmasa da gelecekteki potansiyel tehditlere karşı hazırlıklı olmanın gerekliliğini vurguluyor. Linux sistemlerinizi bu tür tehditlere karşı güvende tutmak için UEFI güvenli önyüklemenin etkin olduğundan, sistem yazılımınızın, güvenlik yazılımınızın ve işletim sisteminizin güncel olduğundan ve UEFI iptal listenizin de güncel olduğundan emin olun.” 

Kaynak: (BYZHA) Beyaz Haber Ajansı

ESET, güvenlik açığını 8 Ekim 2024 tarihinde Mozilla’ya bildirdi; bir gün içinde yamalandı. Windows’ta ortaya çıkarılan ve Firefox’un sanal alanının dışında çalışmasına izin veren bir ayrıcalık yükseltme hatasını Microsoft 12 Kasım 2024 tarihinde bir yama yayımladı. 

ESET araştırmacıları, Mozilla ürünlerinde daha önce bilinmeyen bir güvenlik açığı olan CVE-2024-9680’in Rusya’ya bağlı APT grubu RomCom tarafından kullanıldığını keşfetti. Yapılan derinlemesine analizler, Windows’ta başka bir sıfır gün güvenlik açığını ortaya çıkardı: CVE-2024-49039 olarak atanan bir ayrıcalık yükseltme hatası. Başarılı bir saldırıda, bir kurban açığı içeren bir web sayfasına göz atarsa bir düşman herhangi bir kullanıcı etkileşimi gerekmeden (sıfır tıklama) keyfi kod çalıştırabilir, bu durumda RomCom’un arka kapısının kurbanın bilgisayarına yüklenmesine yol açar. Grup tarafından kullanılan arka kapı, komutları yürütme ve kurbanın makinesine ek modüller indirme yeteneğine sahip. ESET Research tarafından 8 Ekim’de keşfedilen Mozilla ile ilgili kritik güvenlik açığı, 0 ile 10 arasında bir ölçekte 9,8 CVSS puanına sahip. RomCom, 2024 yılında Ukrayna ve diğer Avrupa ülkelerinin yanı sıra Amerika Birleşik Devletleri’nde de etkili oldu. ESET telemetrisine göre, 10 Ekim 2024’ten 4 Kasım 2024’e kadar, istismarı barındıran web sitelerini ziyaret eden potansiyel kurbanlar çoğunlukla Avrupa ve Kuzey Amerika’da bulunuyordu.

Windows’ta açık giderildi

8 Ekim 2024 tarihinde ESET araştırmacıları CVE-2024-9680 güvenlik açığını keşfetti. Firefox’taki animasyon zaman çizelgesi özelliğindeki bir use-after-free hatasıdır. Mozilla bu açığı 9 Ekim 2024 tarihinde kapattı. Derinlemesine analiz, Windows’ta başka bir sıfır gün güvenlik açığını ortaya çıkardı: Kodun Firefox’un sanal alanının dışında çalışmasına izin veren ve şimdi CVE 2024 49039 olarak atanan bir ayrıcalık yükseltme hatası. Microsoft bu ikinci güvenlik açığı için 12 Kasım 2024 tarihinde bir yama yayımladı.

8 Ekim’de keşfedilen CVE-2024-9680 güvenlik açığı, Firefox, Thunderbird ve Tor Browser’ın savunmasız sürümlerinin tarayıcının kısıtlı bağlamında kod yürütmesine izin veriyor. Windows’ta daha önce bilinmeyen ve CVSS puanı 8.8 olan CVE-2024-49039 açığı ile zincirleme olarak, oturum açan kullanıcı bağlamında keyfi kod çalıştırılabilir. İki sıfırıncı gün açığının bir araya getirilmesi RomCom’a kullanıcı etkileşimi gerektirmeyen bir istismar olanağı sağlamıştı. Bu karmaşıklık seviyesi, tehdit aktörünün gizli yetenekler elde etme veya geliştirme niyetini ve araçlarını göstermektedir. Ayrıca başarılı istismar girişimleri RomCom arka kapısını yaygın bir kampanya gibi görünen bir şekilde teslim etti.

Hedefli siber casusluk

RomCom (Storm-0978, Tropical Scorpius ya da UNC2596 olarak da bilinir), seçilmiş iş sektörlerine karşı fırsatçı kampanyalar ve hedefli casusluk operasyonları yürüten Rusya’ya bağlı bir grup. Grubun odak noktası, daha geleneksel siber suç operasyonlarına paralel olarak istihbarat toplayan casusluk operasyonlarını da içerecek şekilde değişmiştir. ESET, 2024 yılında RomCom’un Ukrayna’da devlet kurumlarına, savunma ve enerji sektörlerine, ABD’de ilaç ve sigorta sektörlerine, Almanya’da hukuk sektörüne ve Avrupa’da devlet kurumlarına yönelik siber casusluk ve siber suç operasyonlarını keşfetti.

Her iki güvenlik açığını da keşfeden ESET araştırmacısı Damien Schaeffer “Tehlike zinciri, potansiyel kurbanı istismarı barındıran sunucuya yönlendiren sahte bir web sitesinden oluşuyor ve istismarın başarılı olması durumunda, RomCom arka kapısını indiren ve çalıştıran kabuk kodu çalıştırılıyor. Sahte web sitesinin bağlantısının nasıl dağıtıldığını bilmiyoruz ancak sayfaya savunmasız bir tarayıcı kullanılarak ulaşılırsa bir yük bırakılır ve kurbanın bilgisayarında kullanıcı etkileşimi gerekmeden çalıştırılır. Mozilla’daki ekibe çok duyarlı oldukları için teşekkür etmek ve bir gün içinde bir yama yayımlamak için etkileyici iş ahlaklarını vurgulamak istiyoruz.” dedi. Her iki güvenlik açığı da sırasıyla Mozilla ve Microsoft tarafından giderildi.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Araştırmacılar İran’a bağlı grupların siber yeteneklerini diplomatik casusluk çabalarını ilerletmek için kullandıklarına dair işaretler gözlemlerken Çin’e yakın MirrorFace ilk kez AB içindeki bir diplomatik kuruluşu hedef aldığını da raporladılar. ESET’in yayımladığı raporda Asya’da öncelikle devlet kurumlarına odaklanan kampanyaların devam ettiğini, eğitim sektörüne, özellikle de araştırmacılar ve akademisyenlere yönelik hedeflemelerin arttığını gözlemledi.

ESET APT Faaliyet Raporu’na göre Çin bağlantılı MirrorFace’in hedeflemelerinde kayda değer bir artış gözlemlendi. Genellikle Japon kuruluşlarına odaklanan bu grup, Japon hedeflerine öncelik vermeye devam ederken operasyonlarını ilk kez Avrupa Birliği’ndeki diplomatik bir kuruluşu da kapsayacak şekilde genişletti. Buna ek olarak, Çin’e bağlı APT grupları kurbanların ağlarına erişim sağlamak için açık kaynaklı ve çok platformlu SoftEther VPN’e giderek daha fazla güveniyor. Araştırmacılar ayrıca İran’a bağlı grupların diplomatik casusluğu ve potansiyel olarak kinetik operasyonları desteklemek için siber yeteneklerini kullanabileceklerine dair işaretler gözlemledi.

ESET Tehdit Araştırmaları Direktörü Jean-Ian Boutin yaptığı açıklamada: “Çin’e bağlı tehdit gruplarıyla ilgili olarak, Flax Typhoon tarafından SoftEther VPN’in kapsamlı kullanımını tespit ettik, Webworm’un tam özellikli arka kapısından AB’deki devlet kurumlarına ait makinelerde SoftEther VPN Köprüsü’nü kullanmaya geçtiğini gözlemledik ve GALLIUM’un Afrika’daki telekomünikasyon operatörlerine SoftEther VPN sunucuları yerleştirdiğini fark ettik” dedi. “MirrorFace’in ilk kez, Çin, Kuzey Kore ve Rusya’ya bağlı birçok tehdit aktörünün odak noktası olmaya devam eden bir bölge olan AB’deki diplomatik bir kuruluşu hedef aldığını gözlemledik. Bu grupların çoğu özellikle devlet kurumlarına ve savunma sektörüne odaklanmış durumda” diye ekledi.

İran’a bağlı gruplar odaklandıkları alanları genişletiyor

Öte yandan İran’a bağlı gruplar, İran için jeopolitik açıdan önemli bir kıta olan Afrika’da birçok finansal hizmet şirketini tehlikeye atmış, İran’ın karmaşık ilişkilere sahip olduğu komşu ülkeler olan Irak ve Azerbaycan’a yönelik siber casusluk faaliyetlerinde bulunmuş ve İsrail’de taşımacılık sektöründeki paylarını artırmışlardır. Görünürdeki bu dar coğrafi hedeflemeye rağmen İran’a bağlı gruplar küresel bir odaklanmayı sürdürerek Fransa’daki diplomatik elçileri ve Amerika Birleşik Devletleri’ndeki eğitim kurumlarını takip etmeye devam ettiler. 

Kuzey Kore’ye bağlı gruplar kripto para peşinde

Kuzey Kore’ye bağlı tehdit aktörleri hem geleneksel para birimleri hem de kripto para birimleri olmak üzere çalıntı fon arayışlarını sürdürdü. Bu grupların Avrupa ve ABD’deki savunma ve havacılık şirketlerine yönelik saldırılarını sürdürdüklerini ve kripto para geliştiricilerini, düşünce kuruluşlarını ve STK’ları hedef aldıkları gözlemlendi. Bu gruplardan biri olan Kimsuky, genellikle sistem yöneticileri tarafından kullanılan ancak herhangi bir Windows komutunu çalıştırabilen Microsoft Management Console dosyalarını kötüye kullanmaya başladı. Buna ek olarak, Kuzey Kore’ye bağlı birkaç grup popüler bulut tabanlı hizmetleri sıklıkla kötüye kullandı.

Rusya’ya bağlı gruplar Ukrayna’ya odaklanmaya devam ediyor

Son olarak ESET Research, Roundcube ve Zimbra gibi web posta sunucularını sık sık hedef alan Rusya bağlantılı siber casusluk gruplarını, genellikle bilinen XSS açıklarını tetikleyen spearphishing e-postalarıyla tespit etti. Dünya çapında hükümet, akademik ve savunma ile ilgili kuruluşları hedef alan Sednit’in yanı sıra ESET, Roundcube’deki XSS açıkları aracılığıyla e-posta mesajlarını çalan GreenCube adlı Rusya’ya bağlı bir başka grup daha tespit etti. Rusya’ya bağlı diğer gruplar Ukrayna’ya odaklanmaya devam etti ve Gamaredon, hem Telegram hem de Signal mesajlaşma uygulamalarını kötüye kullanarak araçlarını yeniden işlerken büyük spearphishing kampanyaları başlattı. Ayrıca Sandworm, WrongSens adlı yeni Windows arka kapısını kullandı. ESET ayrıca Polonya Anti-Doping Ajansı’nın verilerinin halka açık bir şekilde hacklenip sızdırılmasını da analiz etti; bu veriler muhtemelen ilk erişim aracısı tarafından ele geçirilmiş ve daha sonra NATO’yu eleştiren siber etkin dezenformasyon kampanyalarının arkasındaki bir varlık olan Belarus’a bağlı FrostyNeighbor APT grubu ile paylaşılmıştı.

ESET, Asya’da kampanyaların öncelikle devlet kurumlarına odaklanmaya devam ettiğini gözlemledi. Ancak yapılan araştırmalarda, özellikle Kore yarımadası ve Güneydoğu Asya’ya odaklanan araştırmacı ve akademisyenleri hedef alan eğitim sektörüne yapılan vurgunun arttığı da görüldü. Bu değişim, Çin ve Kuzey Kore’nin çıkarlarıyla uyumlu tehdit aktörleri tarafından yönlendirildi. Kuzey Kore’ye bağlı gruplardan biri olan Lazarus, finans ve teknoloji sektörlerinde dünyanın dört bir yanındaki kuruluşlara saldırmaya devam etti. Orta Doğu’da, İran’a bağlı birkaç APT grubu, en çok etkilenen ülke İsrail olmak üzere, devlet kurumlarına saldırmaya devam etti. Son yirmi yılda Afrika, Çin için önemli bir jeopolitik ortak haline geldi ve Çin’e bağlı grupların bu kıtadaki faaliyetlerini genişlettiği görüldü. Ukrayna’da Rusya’ya bağlı gruplar en aktif gruplar olmaya devam etti ve devlet kurumlarını, savunma sektörünü ve enerji, su ve ısı temini gibi temel hizmetleri büyük ölçüde etkiledi.

Vurgulanan operasyonlar, ESET’in bu dönemde araştırdığı daha geniş tehdit ortamını temsil etmektedir. ESET ürünleri, müşterilerinin sistemlerini bu raporda açıklanan kötü amaçlı faaliyetlerden korur. Burada paylaşılan istihbarat, çoğunlukla özel ESET telemetri verilerine dayanmaktadır. ESET APT Reports PREMIUM olarak bilinen bu tehdit istihbaratı analizleri, vatandaşları, kritik ulusal altyapıyı ve yüksek değerli varlıkları suç ve ulus-devlet kaynaklı siber saldırılardan korumakla görevli kuruluşlara yardımcı olur. ESET APT Reports PREMIUM ve yüksek kaliteli, stratejik, eyleme geçirilebilir ve taktiksel siber güvenlik tehdit istihbaratı sunumu hakkında daha fazla bilgiye ESET Tehdit İstihbaratı sayfasından ulaşabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Araştırmacılar İran’a bağlı grupların siber yeteneklerini diplomatik casusluk çabalarını ilerletmek için kullandıklarına dair işaretler gözlemlerken Çin’e yakın MirrorFace ilk kez AB içindeki bir diplomatik kuruluşu hedef aldığını da raporladılar. ESET’in yayımladığı raporda Asya’da öncelikle devlet kurumlarına odaklanan kampanyaların devam ettiğini, eğitim sektörüne, özellikle de araştırmacılar ve akademisyenlere yönelik hedeflemelerin arttığını gözlemledi.

ESET APT Faaliyet Raporu’na göre Çin bağlantılı MirrorFace’in hedeflemelerinde kayda değer bir artış gözlemlendi. Genellikle Japon kuruluşlarına odaklanan bu grup, Japon hedeflerine öncelik vermeye devam ederken operasyonlarını ilk kez Avrupa Birliği’ndeki diplomatik bir kuruluşu da kapsayacak şekilde genişletti. Buna ek olarak, Çin’e bağlı APT grupları kurbanların ağlarına erişim sağlamak için açık kaynaklı ve çok platformlu SoftEther VPN’e giderek daha fazla güveniyor. Araştırmacılar ayrıca İran’a bağlı grupların diplomatik casusluğu ve potansiyel olarak kinetik operasyonları desteklemek için siber yeteneklerini kullanabileceklerine dair işaretler gözlemledi.

ESET Tehdit Araştırmaları Direktörü Jean-Ian Boutin yaptığı açıklamada: “Çin’e bağlı tehdit gruplarıyla ilgili olarak, Flax Typhoon tarafından SoftEther VPN’in kapsamlı kullanımını tespit ettik, Webworm’un tam özellikli arka kapısından AB’deki devlet kurumlarına ait makinelerde SoftEther VPN Köprüsü’nü kullanmaya geçtiğini gözlemledik ve GALLIUM’un Afrika’daki telekomünikasyon operatörlerine SoftEther VPN sunucuları yerleştirdiğini fark ettik” dedi. “MirrorFace’in ilk kez, Çin, Kuzey Kore ve Rusya’ya bağlı birçok tehdit aktörünün odak noktası olmaya devam eden bir bölge olan AB’deki diplomatik bir kuruluşu hedef aldığını gözlemledik. Bu grupların çoğu özellikle devlet kurumlarına ve savunma sektörüne odaklanmış durumda” diye ekledi.

İran’a bağlı gruplar odaklandıkları alanları genişletiyor

Öte yandan İran’a bağlı gruplar, İran için jeopolitik açıdan önemli bir kıta olan Afrika’da birçok finansal hizmet şirketini tehlikeye atmış, İran’ın karmaşık ilişkilere sahip olduğu komşu ülkeler olan Irak ve Azerbaycan’a yönelik siber casusluk faaliyetlerinde bulunmuş ve İsrail’de taşımacılık sektöründeki paylarını artırmışlardır. Görünürdeki bu dar coğrafi hedeflemeye rağmen İran’a bağlı gruplar küresel bir odaklanmayı sürdürerek Fransa’daki diplomatik elçileri ve Amerika Birleşik Devletleri’ndeki eğitim kurumlarını takip etmeye devam ettiler. 

Kuzey Kore’ye bağlı gruplar kripto para peşinde

Kuzey Kore’ye bağlı tehdit aktörleri hem geleneksel para birimleri hem de kripto para birimleri olmak üzere çalıntı fon arayışlarını sürdürdü. Bu grupların Avrupa ve ABD’deki savunma ve havacılık şirketlerine yönelik saldırılarını sürdürdüklerini ve kripto para geliştiricilerini, düşünce kuruluşlarını ve STK’ları hedef aldıkları gözlemlendi. Bu gruplardan biri olan Kimsuky, genellikle sistem yöneticileri tarafından kullanılan ancak herhangi bir Windows komutunu çalıştırabilen Microsoft Management Console dosyalarını kötüye kullanmaya başladı. Buna ek olarak, Kuzey Kore’ye bağlı birkaç grup popüler bulut tabanlı hizmetleri sıklıkla kötüye kullandı.

Rusya’ya bağlı gruplar Ukrayna’ya odaklanmaya devam ediyor

Son olarak ESET Research, Roundcube ve Zimbra gibi web posta sunucularını sık sık hedef alan Rusya bağlantılı siber casusluk gruplarını, genellikle bilinen XSS açıklarını tetikleyen spearphishing e-postalarıyla tespit etti. Dünya çapında hükümet, akademik ve savunma ile ilgili kuruluşları hedef alan Sednit’in yanı sıra ESET, Roundcube’deki XSS açıkları aracılığıyla e-posta mesajlarını çalan GreenCube adlı Rusya’ya bağlı bir başka grup daha tespit etti. Rusya’ya bağlı diğer gruplar Ukrayna’ya odaklanmaya devam etti ve Gamaredon, hem Telegram hem de Signal mesajlaşma uygulamalarını kötüye kullanarak araçlarını yeniden işlerken büyük spearphishing kampanyaları başlattı. Ayrıca Sandworm, WrongSens adlı yeni Windows arka kapısını kullandı. ESET ayrıca Polonya Anti-Doping Ajansı’nın verilerinin halka açık bir şekilde hacklenip sızdırılmasını da analiz etti; bu veriler muhtemelen ilk erişim aracısı tarafından ele geçirilmiş ve daha sonra NATO’yu eleştiren siber etkin dezenformasyon kampanyalarının arkasındaki bir varlık olan Belarus’a bağlı FrostyNeighbor APT grubu ile paylaşılmıştı.

ESET, Asya’da kampanyaların öncelikle devlet kurumlarına odaklanmaya devam ettiğini gözlemledi. Ancak yapılan araştırmalarda, özellikle Kore yarımadası ve Güneydoğu Asya’ya odaklanan araştırmacı ve akademisyenleri hedef alan eğitim sektörüne yapılan vurgunun arttığı da görüldü. Bu değişim, Çin ve Kuzey Kore’nin çıkarlarıyla uyumlu tehdit aktörleri tarafından yönlendirildi. Kuzey Kore’ye bağlı gruplardan biri olan Lazarus, finans ve teknoloji sektörlerinde dünyanın dört bir yanındaki kuruluşlara saldırmaya devam etti. Orta Doğu’da, İran’a bağlı birkaç APT grubu, en çok etkilenen ülke İsrail olmak üzere, devlet kurumlarına saldırmaya devam etti. Son yirmi yılda Afrika, Çin için önemli bir jeopolitik ortak haline geldi ve Çin’e bağlı grupların bu kıtadaki faaliyetlerini genişlettiği görüldü. Ukrayna’da Rusya’ya bağlı gruplar en aktif gruplar olmaya devam etti ve devlet kurumlarını, savunma sektörünü ve enerji, su ve ısı temini gibi temel hizmetleri büyük ölçüde etkiledi.

Vurgulanan operasyonlar, ESET’in bu dönemde araştırdığı daha geniş tehdit ortamını temsil etmektedir. ESET ürünleri, müşterilerinin sistemlerini bu raporda açıklanan kötü amaçlı faaliyetlerden korur. Burada paylaşılan istihbarat, çoğunlukla özel ESET telemetri verilerine dayanmaktadır. ESET APT Reports PREMIUM olarak bilinen bu tehdit istihbaratı analizleri, vatandaşları, kritik ulusal altyapıyı ve yüksek değerli varlıkları suç ve ulus-devlet kaynaklı siber saldırılardan korumakla görevli kuruluşlara yardımcı olur. ESET APT Reports PREMIUM ve yüksek kaliteli, stratejik, eyleme geçirilebilir ve taktiksel siber güvenlik tehdit istihbaratı sunumu hakkında daha fazla bilgiye ESET Tehdit İstihbaratı sayfasından ulaşabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı