Binlerce e-posta sunucusu tehlike alt─▒nda

14.03.2021 - Pazar 01:40

Siber güvenlik kurulu┼ču ESET, say─▒s─▒ ondan fazla geli┼čmi┼č kal─▒c─▒ tehdit grubunun (APT) e-posta sunucular─▒na s─▒zmak için Microsoft Exchange güvenlik aç─▒klar─▒n─▒ suistimal etti─čini fark etti. Microsoft, Exchange Server güvenlik aç─▒klar─▒ için yamalar yay─▒nlad─▒. Yamalar─▒n en k─▒sa sürede yüklenmesi öneriliyor.

ESET Ara┼čt─▒rma ekibi, 5 binden fazla e-posta sunucusunun sald─▒r─▒lardan etkilendi─čini belirledi. Sunucular─▒n, dünya genelinde aralar─▒nda yüksek profile sahip ┼čirketlerin de yer ald─▒─č─▒ birçok kurulu┼ča ve devlet kurumuna ait oldu─ču belirtildi. 

Sald─▒r─▒ nas─▒l gerçekle┼čtirildi

Mart ay─▒n─▒n ba┼člar─▒nda Microsoft; 2013, 2016 ve 2019 sürümüne sahip Microsoft Exchange Server’lar─▒ için önceden kimlik do─črulama uzaktan kod yönetimi (RCE) güvenlik aç─▒klar─▒ dizisini onaran yamalar yay─▒mlad─▒. Güvenlik aç─▒klar─▒, sald─▒rganlar─▒n geçerli bir hesab─▒n kimlik bilgilerini bilmesine gerek kalmadan, eri┼čim sa─članabilen Exchange sunucular─▒n─▒ ele geçirmesine olanak tan─▒yor. Bu durum internete ba─čl─▒ Exhange sunucular─▒n─▒n ihlallere aç─▒k hale gelmesine neden oluyor. 

10‘dan fazla tehdit grubu

ESET’in en son Exchange güvenlik aç─▒─č─▒ zinciriyle ilgili ara┼čt─▒rmas─▒na ba┼čkanl─▒k eden Matthieu Faou bu konudaki görü┼člerini ┼čöyle ifade etti: “Yamalar─▒n yay─▒mland─▒─č─▒ günün ertesinde Exchange sunucular─▒n─▒ toplu halde tarayan ve ihlal eden sald─▒r─▒larda art─▒┼č gözlemlemeye ba┼člad─▒k. Ayr─▒ca bu APT gruplar─▒ndan biri hariç hepsi casusluk alan─▒na odaklanan gruplar. Bir tanesinin ise bilinen bir kriptopara madencili─či ile ili┼čkili oldu─ču gözlendi. Ancak fidye yaz─▒l─▒m operatörleri de dahil olmak üzere gittikçe daha fazla say─▒da sald─▒rgan, bu güvenlik aç─▒klar─▒na er ya da geç eri┼čim sa─člayacakt─▒r. ”ESET ara┼čt─▒rmac─▒lar─▒, baz─▒ APT gruplar─▒n─▒n güvenlik aç─▒klar─▒n─▒ yamalar yay─▒mlanmadan çok daha önce suistimal etti─čini fark etti. 

ESET telemetrisi, 115’ten fazla ülkede 5 binden fazla benzersiz sunucuda web kabuklar─▒ (bir internet taray─▒c─▒ yoluyla sunucunun uzaktan kontrol edilmesini sa─člayan kötü amaçl─▒ programlar veya dizinler) bulundu─čunu tespit etti. 

Tüm Exchange sunucular─▒na mümkün olan en k─▒sa sürede yama yüklenmeli

ESET, kurbanlar─▒n─▒n e-posta sunucular─▒na web kabu─ču veya arka kap─▒ gibi kötü amaçl─▒ yaz─▒l─▒m kurmak üzere en son Microsoft Exchange RCE güvenlik aç─▒klar─▒n─▒ kullanan ondan fazla farkl─▒ tehdit düzenleyen grup tespit etti. Baz─▒ durumlarda ise farkl─▒ tehdit düzenleyenler ayn─▒ kurulu┼ču hedef ald─▒.

Matthieu Faou ┼ču tavsiyede bulundu: “Tüm Exchange sunucular─▒na mümkün olan en k─▒sa sürede yama yüklenmelidir. ─░nternete do─črudan maruz kalmayan sunuculara bile yama yüklenmelidir. ─░hlal durumunda yöneticiler web kabuklar─▒n─▒ kald─▒rmal─▒, giri┼č bilgilerini de─či┼čtirmeli ve ba┼čka bir kötü amaçl─▒ yaz─▒l─▒m olup olmad─▒─č─▒n─▒ ara┼čt─▒rmal─▒d─▒r. Bu durum, Microsoft Exchange veya SharePoint gibi karma┼č─▒k uygulamalar─▒n internete aç─▒k olmamas─▒ gerekti─čine dair bir hat─▒rlatmad─▒r.”

ESET güvenlik ürünleri, özellikle sald─▒rganlar taraf─▒ndan yüklenen web kabuklar─▒ ve arka kap─▒lar gibi kötü amaçl─▒ yaz─▒l─▒mlar─▒ tespit ederek, istismar─▒n ard─▒ndan sald─▒r─▒lar─▒n daha fazla ilerlemesine kar┼č─▒ koruma sa─čl─▒yor. Ek olarak, ESET Enterprise Inspector, mü┼čterileri herhangi bir ┼čüpheli güvenlik ihlali sonras─▒ etkinli─če kar┼č─▒ uyarmada yararl─▒ bir rol oynayabilir.

Exchange sunucular─▒n─▒z─▒ mutlaka kontrol edin

Internete aç─▒k ve yamalanmam─▒┼č sunucular─▒n tehlikeye girme olas─▒l─▒─č─▒ yüksektir. Bu nedenle, internete aç─▒k sunucular─▒n güvenlik de─čerlendirilmesini bir an önce gerçekle┼čtirin. Güvenlik ihlali durumunda, yöneticiler web kabuklar─▒n─▒ kald─▒rmal─▒, kimlik bilgilerini de─či┼čtirmeli ve herhangi bir ek kötü amaçl─▒ etkinlik olup olmad─▒─č─▒ ara┼čt─▒rmal─▒d─▒r.

Microsoft taraf─▒ndan yay─▒nlanan yamalar─▒ mümkün olan en k─▒sa sürede uygulamak en iyi tavsiye olsa da, yamalar─▒n uygulanmas─▒ halihaz─▒rda virüs bula┼čm─▒┼č bir sunucuyu otomatik olarak temizlemedi─činden, Exchange sunucular─▒n─▒zda kötü amaçl─▒ web kabuklar─▒n─▒n olup olmad─▒─č─▒n─▒ kesinlikle kontrol edilmelidir. Bu sürecin sonunda, denetime devam edin ve kalan tüm sunucular─▒ inceleyin.

Tespit edilen tehdit gruplar─▒ ve davran─▒┼č kümeleri 

  • Tick – BT hizmetleri sa─člayan ve Do─ču Asya’da bulunan bir ┼čirketin internet sunucusuna s─▒zm─▒┼č. LuckyMouse ve Calypso’da oldu─ču gibi grubun yamalar yay─▒mlanmadan önce sunucuya s─▒zarak eri┼čim sa─člad─▒─č─▒ dü┼čünülüyor.
  • LuckyMouse – Orta Do─ču’daki bir devlet kurumunun e-posta sunucusuna s─▒zm─▒┼č. Bu APT grubunun yamalar yay─▒mlanmadan en az bir gün önce ve hala s─▒f─▒r günken s─▒z─▒nt─▒y─▒ gerçekle┼čtirmi┼č olmas─▒ büyük bir olas─▒l─▒k.
  • Calypso – Orta Do─ču’daki ve Güney Amerika’daki devlet kurumlar─▒n─▒n e-posta sunucular─▒na s─▒zm─▒┼č. Grubun, s─▒f─▒r gün olarak sunucuya eri┼čim sa─člad─▒─č─▒ dü┼čünülüyor. Daha sonraki günlerde Calypso operatörleri Afrika, Asya ve Avrupa’daki devlet kurumlar─▒n─▒n ve özel ┼čirketlerin di─čer sunucular─▒n─▒ da hedef ald─▒.
  • Websiic – Asya’da özel ┼čirketlere (BT, ileti┼čim ve mühendislik alan─▒nda) ait yedi e-posta sunucusunu ve Do─ču Avrupa’daki bir devlet kurumunu hedef ald─▒. ESET, bu yeni etkinlik kümesine Websiic ad─▒n─▒ verdi.
  • Winnti Grup – Asya’da bir petrol ┼čirketinin ve bir yap─▒ malzemeleri ┼čirketinin e-posta sunucular─▒na s─▒zm─▒┼č. Grubun yamalar yay─▒mlanmadan önce sunucuya s─▒zarak eri┼čim sa─člad─▒─č─▒ dü┼čünülüyor.
  • Tonto Ekibi – Do─ču Avrupa’da bir tedarik ┼čirketinin ve yaz─▒l─▒m geli┼čtirme ve siber güvenlik alan─▒nda uzmanla┼čm─▒┼č bir dan─▒┼čmanl─▒k ┼čirketinin e-posta sunucular─▒na s─▒zm─▒┼č.
  • ShadowPad etkinli─či – Asya’daki bir yaz─▒l─▒m geli┼čtirme ┼čirketinin ve Orta Do─ču’daki bir emlak ┼čirketinin e-posta sunucular─▒na s─▒zm─▒┼č. ESET, ShadowPad arkakap─▒n─▒n bir varyasyonunun bilinmeyen bir grup taraf─▒ndan b─▒rak─▒ld─▒─č─▒n─▒ tespit etti.
  • “Opera” Cobalt Hareketi – Yamalar yay─▒mland─▒ktan yaln─▒zca birkaç saat sonra ço─čunlukla Amerika, Almanya, ─░ngiltere ve di─čer Avrupa ülkelerindeki 650 civar─▒ sunucuyu hedef alm─▒┼č.
  • IIS arka kap─▒lar – ESET, bu ihlallerde dört e-posta sürücüsüne ihlallerde kullan─▒lan web kabuklar─▒ yoluyla yüklenen IIS arka kap─▒lar─▒n Asya ve Güney Amerika’da yer ald─▒─č─▒n─▒ gözlemlemi┼čtir. Arka kap─▒lardan biri yayg─▒n olarak Owlproxy olarak bilinir. 
  • Mikroceen – Orta Asya’daki bir kamu hizmet kurulu┼čunun exchange sunucusuna s─▒zm─▒┼čt─▒r. Bu grup genellikle bu bölgeyi hedef al─▒r.
  • DLTMiner – ESET, daha önce Exchange güvenlik aç─▒klar─▒ kullan─▒larak hedef al─▒nan birçok e-posta sunucusunda PowerShell indirme yaz─▒l─▒m─▒ da─č─▒t─▒ld─▒─č─▒n─▒ tespit etti. Bu sald─▒r─▒da kullan─▒lan a─č altyap─▒s─▒, daha önce bildiren bir kriptopara madencili─či kampanyas─▒yla ba─člant─▒l─▒d─▒r.           

Kaynak: (BHA) - Beyaz Haber Ajans─▒