FIRESTARTER Backdoor

Mezo'de Arka kapılar, Gelişmiş Sürekli Tehdit (APT)'de

Çevir:

Siber güvenlik analistleri, Eylül 2025'te adı açıklanmayan bir federal sivil kurumun, Adaptive Security Appliance (ASA) yazılımını çalıştıran bir Cisco Firepower cihazında meydana gelen bir güvenlik ihlaline maruz kaldığını açıkladı. Araştırmacılar, etkilenen sistemlere gizli uzaktan erişim ve uzun vadeli kontrol sağlamak üzere tasarlanmış, daha önce belgelenmemiş FIRESTARTER adlı bir kötü amaçlı yazılım türü tespit etti.

Saldırının, daha sonra yamalanan bilinen güvenlik açıklarından yararlanarak Cisco ASA ürün yazılımını hedef alan gelişmiş kalıcı tehdit (APT) grubu tarafından yürütülen daha geniş bir kampanyanın parçası olduğuna inanılıyor.

İçindekiler

Yüksek Riskli Cisco Güvenlik Açıkları Aracılığıyla İlk Saldırı

Siber saldırganların, Cisco'nun iki ciddi güvenlik açığından yararlanarak açıkta bulunan cihazlara sızdığı bildirildi:

CVE-2025-20333 (CVSS 9.9): Uygunsuz giriş doğrulaması, geçerli VPN kimlik bilgilerine sahip kimliği doğrulanmış uzaktan saldırganın, özel olarak hazırlanmış HTTP istekleri aracılığıyla root olarak rastgele kod çalıştırmasına olanak tanır.
CVE-2025-20362 (CVSS 6.5): Uygunsuz giriş doğrulaması, kimlik doğrulaması yapılmamış uzaktan saldırganın özel olarak hazırlanmış HTTP istekleri kullanarak kısıtlı URL uç noktalarına erişmesine olanak tanır.

Yama güncellemeleri mevcut olsa da, düzeltme yapılmadan önce saldırıya uğrayan sistemler risk altında kalabilir.

FIRESTARTER, Yama Sonrası Kalıcı Erişimi Sağlar

FIRESTARTER, aygıt yazılımı güncellemelerinden ve standart yeniden başlatmalardan sağ çıkabilme özelliğiyle dikkat çekiyor. Bu kötü amaçlı yazılım, cihazın başlatma sürecine yerleşerek, cihaz normal şekilde yeniden başlatıldığında otomatik olarak yeniden etkinleştirilmesini sağlıyor.

Sadece sert bir güç döngüsü implantı geçici olarak devre dışı bırakabilir. Standart kapatma, yeniden yükleme veya yeniden başlatma komutları implantı kaldırmaz. Araştırmacılar ayrıca FIRESTARTER ile RayInitiator olarak bilinen daha önceki bir bootkit arasında benzerlikler olduğunu da kaydetti.

LINA Hooking Yöntemiyle Derin Sistem Manipülasyonu

Araştırmacılar, FIRESTARTER'ın Cisco ASA ağ işleme ve güvenlik işlemlerinden sorumlu temel motor olan LINA'ya bir kanca yerleştirmeye çalıştığını tespit etti. Bu manipülasyon, saldırganların normal işlevselliği ele geçirmesine ve 'sihirli paket' adı verilen özel olarak hazırlanmış WebVPN kimlik doğrulama istekleri aracılığıyla iletilen rastgele shellcode'u çalıştırmasına olanak tanıyor.

Bu mekanizma, güvenlik açıkları giderildikten sonra bile kötü amaçlı faaliyetlerin devam etmesine olanak tanır.

LINE VIPER Araç Kiti Saldırganların Yeteneklerini Genişletiyor

Aynı olay sırasında, operatörler LINE VIPER adı verilen bir saldırı sonrası kontrol çerçevesi kullanarak ele geçirilen ortam üzerindeki kontrolü önemli ölçüde genişlettiler. Bu araç setinin aşağıdaki eylemleri gerçekleştirdiği gözlemlendi:

CLI komutlarını yürütme
Ağ trafiğini yakalama
Saldırgan kontrolündeki cihazlar için VPN Kimlik Doğrulama, Yetkilendirme ve Muhasebe (AAA) işlemlerinin atlanması
Syslog uyarılarını bastırma
Hasat yöneticisi CLI etkinliği
Gecikmeli sistem yeniden başlatmalarını zorlamak

LINE VIPER tarafından sağlanan yüksek ayrıcalıkların, FIRESTARTER'ın 25 Eylül 2025'ten önce konuşlandırılmasının yolunu açtığı bildiriliyor. Saldırganlar, daha önceki bir ay içinde cihaza tekrar erişebildiler.

Daha Geniş Kapsamlı Casusluk Operasyonlarıyla Bağlantılar

UAT4356 veya Storm-1849 olarak da bilinen kodla izlenen istismar faaliyetleri üzerine çalışan araştırmacılar, bu faaliyetleri daha önceki kampanyalarla ilişkilendirdi. Mayıs 2024'teki önceki değerlendirmeler, Çin ile olası bağlantılar olduğunu öne sürmüştü.

Bu küme daha önce, Cisco'nun iki sıfır gün güvenlik açığını kullanarak keşif ve ağ trafiğini engelleme amacıyla kullanılan özel kötü amaçlı yazılımlar dağıtan ArcaneDoor kampanyasıyla ilişkilendirilmişti.

Etkilenen Kuruluşlar İçin Kritik İyileştirme Önlemleri

Güvenlik uzmanları, Cisco Secure ASA veya Firepower Threat Defense (FTD) platformlarını içeren doğrulanmış herhangi bir güvenlik ihlalinin tam güven hatası olarak değerlendirilmesi gerektiğini şiddetle tavsiye etmektedir. Mevcut cihaz yapılandırmalarının güvenilmez olduğu kabul edilmelidir.

FIRESTARTER'ı tamamen ortadan kaldırmak için, kuruluşların etkilenen cihazları yeniden imajlamaları ve Cisco'nun düzeltilmiş yazılım sürümlerine yükseltmeleri gerekir. Yeniden imajlama tamamlanana kadar, yazılım tabanlı yeniden başlatma komutları kalıcı bulaşmayı kaldırmayacağından, cihazın gücünü fiziksel olarak kesip tekrar bağlayarak soğuk yeniden başlatma yapılması önerilir.

EnigmaSoft'un Ödeme İşlemcisi Digital River GmbH'nin İflas Başvurusunda Bulunması SpyHunter Müşterilerinin Kötü Amaçlı Yazılımlara Karşı Korumasını Etkilemiyor

Ara

Bölge değiştir

FIRESTARTER Backdoor

Yüksek Riskli Cisco Güvenlik Açıkları Aracılığıyla İlk Saldırı

FIRESTARTER, Yama Sonrası Kalıcı Erişimi Sağlar

LINA Hooking Yöntemiyle Derin Sistem Manipülasyonu

LINE VIPER Araç Kiti Saldırganların Yeteneklerini Genişletiyor

Daha Geniş Kapsamlı Casusluk Operasyonlarıyla Bağlantılar

Etkilenen Kuruluşlar İçin Kritik İyileştirme Önlemleri

Yorum Gönder

trend

SnappyClient Kötü Amaçlı Yazılımı

Sahte Spotify Ödül Sitesi

PayPal PDF E-posta Dolandırıcılığı

En çok görüntülenen

'Yazıcı Sürücüsü Kullanılamıyor' Hatası Nasıl Onarılır

Discord Ekranı Paylaşırken Siyah Ekran Görüyor

Fuq.com