Kaspersky uzmanları, Microsoft tarafından düzenlenen tanınan bir web sunucusu olan Internet Information Services (IIS) içine makus maksatlı bir …
Kaspersky uzmanları, Microsoft tarafından düzenlenen tanınan bir web sunucusu olan Internet Information Services (IIS) içine makus maksatlı bir modül olarak yerleşen, yeni tespit ettiği SessionManager art kapısını gün ışığına çıkardı. SessionManager sisteme bulaşmasının akabinde e-posta toplamaktan kurbanın altyapısı üzerinde tam denetim sağlamaya kadar çok çeşitli makûs emelli etkinliklere imkan tanıyor. Birinci olarak Mart 2021’in sonlarında keşfedilen art kapı Kuveyt, Suudi Arabistan, Nijerya, Kenya ve Türkiye dahil olmak üzere Orta Doğu, Türkiye ve Afrika bölgesinden sekiz ülkede hükümet kurumlarını ve sivil toplum kuruluşlarını hedefliyor.
Aralık 2021’de Kaspersky, bir kullanıcının Outlook Web Access’te (OWA) oturum açarken girdiği kimlik bilgilerini çalan, evvelce bilinmeyen bir IIS modülü olan “Owowa”yı ortaya çıkardı. O vakitten beri, şirketin uzmanları siber kabahat faaliyeti için yeni fırsatları takibe aldılar. Bu sırada IIS içine dağıtmak üzere bir art kapı yerleştirmenin, daha evvel Microsoft Exchange içindeki “ProxyLogon tipi” güvenlik açıklarından birini kullanan tehdit aktörleri için yeni bir eğilim olduğu ortaya çıktı. Yakın vakitte yaptıkları bir araştırma sırasında Kaspersky uzmanları, SessionManager isimli yeni bir art kapı modülüyle karşılaştı.
SessionManager art kapısı, tehdit aktörlerinin hedeflenen kuruluşun BT altyapısına kalıcı, güncellemeye güçlü ve epeyce saklı erişim sağlamasına yol açıyor. Kurbanın sistemine bir sefer girdikten sonra art kapıyı kullanan siber hatalılar, şirket e-postalarına erişebiliyor, öbür berbat maksatlı yazılımları yükleyerek daha fazla berbat hedefli erişimi güncelleyebiliyor yahut berbat gayeli altyapı olarak kullanılabilecekleri, güvenliği ihlal edilmiş sunucuları gizlice yönetebiliyor.
SessionManager’ın ayırt edici bir özelliği zayıf algılama oranı. Birinci olarak 2022’nin başlarında Kaspersky araştırmacıları tarafından keşfedilen birtakım art kapı örnekleri, en tanınan çevrimiçi evrak tarama hizmetlerinde hala berbat hedefli olarak işaretlenmiyor. Üstelik SessionManager hedeflenen kuruluşların 91’inden fazlasında konuşlandırılmış durumda.
Genel olarak Avrupa, Orta Doğu, Güney Asya ve Afrika’dan 24 kuruluşun 34 sunucusu SessionManager tarafından ele geçirildi. SessionManager’ı işleten tehdit aktörü STK’lara ve devlet kurumlarına özel bir ilgi gösteriyor. Lakin bunların yanı sıra tıbbi kuruluşları, petrol ve nakliye şirketlerini de maksat alıyor.
Benzer bir mağduriyet ve yaygın “OwlProxy” varyantının kullanılması nedeniyle Kaspersky uzmanları, makus niyetli IIS modülünün, casusluk operasyonlarının bir modülü olarak GELSEMIUM tehdit aktörü tarafından kullanılmış olabileceğini düşünüyor.
Kaspersky Global Araştırma ve Tahlil Takımı Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Exchange sunucularındaki güvenlik açıklarından yararlanma, 2021 yılının birinci çeyreğinden bu yana hedeflenen altyapıya girmek isteyen siber hatalıların gözdesi oldu. Bu, bilhassa uzun müddettir fark edilmeyen bir dizi siber casusluk kampanyasını mümkün kıldı. Yakın vakitte keşfedilen SessionManager, bir yıl boyunca zayıf bir şekilde algılandı. Devasa ve gibisi görülmemiş sunucu tarafı güvenlik açığı istismarıyla karşı karşıya kalan siber güvenlik aktörlerinin birçok, tespit ettikleri birinci ihlalleri araştırmak ve bunlara karşılık vermekle meşguldü. Sonuç olarak bununla ilgili makûs niyetli faaliyetleri aylar yahut yıllar sonra keşfetmek hala mümkün ve bu muhtemelen uzun bir müddet bu türlü devam edecek.”
Delcher, ayrıyeten şunları ekliyor: “Gerçek vakitli yahut yakın vakit evvel gerçekleşmiş siber tehditlere ait görünürlük kazanmak, şirketlerin varlıklarını muhafazaları açısından çok kıymetlidir. Bu tıp hücumlar kıymetli mali yahut prestij kayıplarına neden olabilir ve gayenin operasyonlarını kesintiye uğratabilir. Tehdit istihbaratı, bu cins tehditlerin sağlam ve vaktinde iddia edilmesini sağlayan tek bileşendir. Hele Exchange sunucuları kelam konusu olduğunda bunu ne kadar vurgulasak az: Berbat niyetli niyet ne olursa olsun, geçen yılın güvenlik açıkları onları harika gayeler haline getirdi. Bu nedenle şimdi yapılmadıysa Exchange sunucuları dikkatlice denetlenmeli ve zımnî implantlar açısından izlenmeli.”
Kaspersky eserleri, SessionManager dahil olmak üzere birçok berbat hedefli IIS modülünü algılayabiliyor.
SessionManager’ın çalışma tarzı ve maksatları hakkında daha fazla bilgi edinmek için Securelist adresini ziyaret edebilirsiniz.
İşletmelerinizi bu cins tehditlerden korumak için Kaspersky uzmanları ayrıyeten şunları önermektedir:
Kaynak: (BYZHA) – Beyaz Haber Ajansı