Kaspersky Orta Doğu, Türkiye ve Afrika’yı hedef alan yeni bir arka kapı keşfetti

Kaspersky uzmanları, Microsoft tarafından düzenlenen tanınan bir web sunucusu olan Internet Information Services (IIS) içine makus maksatlı bir modül olarak yerleşen, yeni tespit ettiği SessionManager art kapısını gün ışığına çıkardı. SessionManager sisteme bulaşmasının akabinde e-posta toplamaktan kurbanın altyapısı üzerinde tam denetim sağlamaya kadar çok çeşitli makûs emelli etkinliklere imkan tanıyor. Birinci olarak Mart 2021’in sonlarında keşfedilen art kapı Kuveyt, Suudi Arabistan, Nijerya, Kenya ve Türkiye dahil olmak üzere Orta Doğu, Türkiye ve Afrika bölgesinden sekiz ülkede hükümet kurumlarını ve sivil toplum kuruluşlarını hedefliyor.

Aralık 2021’de Kaspersky, bir kullanıcının Outlook Web Access’te (OWA) oturum açarken girdiği kimlik bilgilerini çalan, evvelce bilinmeyen bir IIS modülü olan “Owowa”yı ortaya çıkardı. O vakitten beri, şirketin uzmanları siber kabahat faaliyeti için yeni fırsatları takibe aldılar. Bu sırada IIS içine dağıtmak üzere bir art kapı yerleştirmenin, daha evvel Microsoft Exchange içindeki “ProxyLogon tipi” güvenlik açıklarından birini kullanan tehdit aktörleri için yeni bir eğilim olduğu ortaya çıktı. Yakın vakitte yaptıkları bir araştırma sırasında Kaspersky uzmanları, SessionManager isimli yeni bir art kapı modülüyle karşılaştı.

SessionManager art kapısı, tehdit aktörlerinin hedeflenen kuruluşun BT altyapısına kalıcı, güncellemeye güçlü ve epeyce saklı erişim sağlamasına yol açıyor. Kurbanın sistemine bir sefer girdikten sonra art kapıyı kullanan siber hatalılar, şirket e-postalarına erişebiliyor, öbür berbat maksatlı yazılımları yükleyerek daha fazla berbat hedefli erişimi güncelleyebiliyor yahut berbat gayeli altyapı olarak kullanılabilecekleri, güvenliği ihlal edilmiş sunucuları gizlice yönetebiliyor.

SessionManager’ın ayırt edici bir özelliği zayıf algılama oranı. Birinci olarak 2022’nin başlarında Kaspersky araştırmacıları tarafından keşfedilen birtakım art kapı örnekleri, en tanınan çevrimiçi evrak tarama hizmetlerinde hala berbat hedefli olarak işaretlenmiyor. Üstelik SessionManager hedeflenen kuruluşların 91’inden fazlasında konuşlandırılmış durumda.

Genel olarak Avrupa, Orta Doğu, Güney Asya ve Afrika’dan 24 kuruluşun 34 sunucusu SessionManager tarafından ele geçirildi. SessionManager’ı işleten tehdit aktörü STK’lara ve devlet kurumlarına özel bir ilgi gösteriyor. Lakin bunların yanı sıra tıbbi kuruluşları, petrol ve nakliye şirketlerini de maksat alıyor.

Benzer bir mağduriyet ve yaygın “OwlProxy” varyantının kullanılması nedeniyle Kaspersky uzmanları, makus niyetli IIS modülünün, casusluk operasyonlarının bir modülü olarak GELSEMIUM tehdit aktörü tarafından kullanılmış olabileceğini düşünüyor.

Kaspersky Global Araştırma ve Tahlil Takımı Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Exchange sunucularındaki güvenlik açıklarından yararlanma, 2021 yılının birinci çeyreğinden bu yana hedeflenen altyapıya girmek isteyen siber hatalıların gözdesi oldu. Bu, bilhassa uzun müddettir fark edilmeyen bir dizi siber casusluk kampanyasını mümkün kıldı. Yakın vakitte keşfedilen SessionManager, bir yıl boyunca zayıf bir şekilde algılandı. Devasa ve gibisi görülmemiş sunucu tarafı güvenlik açığı istismarıyla karşı karşıya kalan siber güvenlik aktörlerinin birçok, tespit ettikleri birinci ihlalleri araştırmak ve bunlara karşılık vermekle meşguldü. Sonuç olarak bununla ilgili makûs niyetli faaliyetleri aylar yahut yıllar sonra keşfetmek hala mümkün ve bu muhtemelen uzun bir müddet bu türlü devam edecek.”

Delcher, ayrıyeten şunları ekliyor: “Gerçek vakitli yahut yakın vakit evvel gerçekleşmiş siber tehditlere ait görünürlük kazanmak, şirketlerin varlıklarını muhafazaları açısından çok kıymetlidir. Bu tıp hücumlar kıymetli mali yahut prestij kayıplarına neden olabilir ve gayenin operasyonlarını kesintiye uğratabilir. Tehdit istihbaratı, bu cins tehditlerin sağlam ve vaktinde iddia edilmesini sağlayan tek bileşendir. Hele Exchange sunucuları kelam konusu olduğunda bunu ne kadar vurgulasak az: Berbat niyetli niyet ne olursa olsun, geçen yılın güvenlik açıkları onları harika gayeler haline getirdi. Bu nedenle şimdi yapılmadıysa Exchange sunucuları dikkatlice denetlenmeli ve zımnî implantlar açısından izlenmeli.”

Kaspersky eserleri, SessionManager dahil olmak üzere birçok berbat hedefli IIS modülünü algılayabiliyor.

SessionManager’ın çalışma tarzı ve maksatları hakkında daha fazla bilgi edinmek için Securelist adresini ziyaret edebilirsiniz.

İşletmelerinizi bu cins tehditlerden korumak için Kaspersky uzmanları ayrıyeten şunları önermektedir:

• Açıkta kalan IIS sunucularında (özellikle Exchange sunucularında) yüklü IIS modüllerini nizamlı olarak denetim edilmeli ve IIS sunucu paketindeki mevcut araçlardan yararlanılmalıdır. Microsoft sunucu eserlerinde her büyük güvenlik açığı duyurulduğunda, tehdit avı etkinliklerinizin bir modülü olarak bu çeşit modülleri denetim etmelisiniz.
• Savunma stratejisi yanal hareketleri ve internete bilgi sızmasını tespit etmeye odaklanmalıdır. Siber hatalı irtibatlarını tespit etmek için giden trafiğe bilhassa dikkat edilmelidir. Bilgiler tertipli olarak yedeklenmeli ve acil bir durumda süratlice erişilebileceğinden emin olunmalıdır.
• Saldırganlar maksatlarına ulaşmadan evvel, saldırıyı erken basamaklarda belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response hizmeti üzere tahliller kullanılmalıdır.
• Kaspersky Endpoint Security for Business (KESB) üzere, berbata kullanım tedbire, davranış algılama ve makus maksatlı hareketleri geri alabilen bir düzeltme motoruyla desteklenen emniyetli bir uç nokta güvenlik tahlili tercih edilmelidir. KESB, siber hatalılar tarafından sistemden kaldırılmasını engelleyebilecek kendini muhafaza düzeneklerine sahiptir.

Kaynak: (BYZHA) – Beyaz Haber Ajansı