PaperCut Güvenlik Açıkları Düzeltildi
Popüler bir baskı yönetimi yazılımı çözümü olan PaperCut, son zamanlarda fidye yazılımı çetelerinin aktif olarak yararlandığı iki önemli güvenlik açığıyla karşı karşıya kaldı. Bu güvenlik açıkları, olası riskleri ortadan kaldırmak için şirket tarafından yamalandı.
İçindekiler
CVE-2023-27350: Kimliği Doğrulanmamış Uzaktan Kod Yürütme Hatası
Bu güvenlik açığının CVSS v3.1 puanı 9.8 olup kritik bir risk düzeyine işaret eder. Kimliği doğrulanmamış uzaktan kod yürütme kusuru, saldırganların savunmasız sistemlerde herhangi bir kimlik doğrulaması olmadan rasgele kod yürütmesine izin vererek, onlara hassas verilere sınırsız erişim ve ağları tehlikeye atma yeteneği sağladı. Bu güvenlik açığının önem derecesine ilişkin ek endişeler, daha fazla siber suçlunun bu açıktan kolayca yararlanabilmesi için bir kılavuz sağlayan kavram kanıtı kodunun yayımlanmış olmasıdır.
CVE-2023-27351: Kimliği Doğrulanmamış Bilgi Açıklama Hatası
İkinci güvenlik açığı olan CVE-2023-27351, yüksek riskli olarak kabul edilen CVSS v3.1 puanı 8.2'dir. Bu kusur, kimliği doğrulanmamış bilgilerin ifşa edilmesine izin verdi; bu, saldırganların hassas verilere geçerli kimlik bilgilerine ihtiyaç duymadan erişebileceği anlamına geliyordu. Bu güvenlik açığından yararlanmak, siber suçluların değerli bilgiler elde etmesine ve potansiyel olarak daha kesin hedefli saldırılar için kullanmasına olanak tanır. Uzaktan kod yürütme kusuru kadar kritik olmasa da, bu güvenlik açığı yine de kullanıcıların güvenliği ve mahremiyeti için önemli bir tehdit oluşturuyordu.
Kavram Kanıtı Kodu Yayınlandı
Kamuya sunulan kavram kanıtı (PoC) kodu, bu güvenlik açıklarıyla ilişkili riskleri artırdı. Bu PoC kodu, potansiyel saldırganların kapsamlı teknik bilgi olmadan bile bu açıklardan yararlanmaları için bir yol haritası sağladı. PoC kodunu serbest bırakmak, iki ucu keskin bir kılıçtır; güvenlik kusurları hakkında farkındalığın yayılmasına ve güvenlik araştırmacılarının yamalar geliştirmesine yardımcı olurken, aynı zamanda olası saldırganlara saldırı gerçekleştirmeleri için bir plan sağlar. Bu güvenlik açıkları için yayınlanan yamalar, PaperCut kullanıcılarının ve ağlarının güvenliğini sağlamak için kritik öneme sahiptir.
PaperCut Güvenlik Açıklarından Yararlanan Kötü Amaçlı Aktörler
PaperCut güvenlik açıkları öğrenildikçe, çeşitli fidye yazılımı çeteleri hızla bunları aktif olarak kullanmaya başladı. Bu kötü niyetli aktörler arasında, her ikisi de savunmasız PaperCut sunucularını ağlara sızmak ve fidye yazılımı yüklerini dağıtmak için hedefleyen Lace Tempest ve LockBit fidye yazılımı türleri vardı.
Lace Tempest (Clop Fidye Yazılımı Bağlı Kuruluşu) Savunmasız Sunucuları Hedefliyor
Tanınmış Clop fidye yazılımı grubunun bir üyesi olan Lace Tempest, PaperCut güvenlik açıklarından yararlanan ilk kötü niyetli aktörlerden biriydi. Lace Tempest, kimliği doğrulanmamış uzaktan kod yürütme ve bilgi ifşa kusurlarını kullanarak hassas veri ve ağlara sınırsız erişim elde ederek savunmasız sunucuları tehlikeye atmayı başardı. Bu güvenliği ihlal edilmiş sistemlerin içine girdikten sonra, Lace Tempest, dosyaları şifreleyen ve şifre çözme anahtarlarını serbest bırakmak için fidye talep eden Clop fidye yazılımını dağıttı.
LockBit Fidye Yazılımı Türü, PaperCut Sunucularını da Hedefliyor
Başka bir kötü şöhretli fidye yazılımı türü olan LockBit de PaperCut sunucu güvenlik açıklarından aktif olarak yararlanıyor. Lace Tempest'in stratejisine benzer şekilde LockBit, savunmasız sistemlere sızmak için kimliği doğrulanmamış uzaktan kod yürütme ve bilgi ifşa kusurlarından yararlandı. Hassas verilere ve dahili ağlara erişim sağlayan LockBit, fidye yazılımı yükünü devreye alarak şifrelenmiş dosyalara ve fidye taleplerine yol açtı. Bu güvenlik açıklarının LockBit ve Lace Tempest gibi kötü niyetli aktörler tarafından hızla benimsenmesi, bu PaperCut kusurlarının ciddiyetini vurguluyor ve siber tehditlere karşı korunmak için yazılımlara düzenli olarak yama uygulama ve güncellemenin önemini vurguluyor.
Lace Tempest Saldırı Taktikleri
Clop fidye yazılımı iştiraki olan Lace Tempest, PaperCut sunucu açıklarından etkili bir şekilde yararlanmak için benzersiz saldırı taktiklerini geliştirdi. Lace Tempest, PowerShell komutları, komuta ve kontrol sunucusu bağlantıları ve Cobalt Strike Beacon gibi gelişmiş yöntemler kullanarak sistemlere başarıyla sızdı ve fidye yazılımı yükünü teslim etti.
TrueBot DLL'yi Teslim Etmek İçin PowerShell Komutlarını Kullanma
Lace Tempest'in saldırıları genellikle, kötü amaçlı bir TrueBot DLL (Dinamik Bağlantı Kitaplığı) dosyasını hedeflenen sisteme teslim etmek için kullandıkları PowerShell komutlarının yürütülmesiyle başlar. Bu DLL dosyası daha sonra sisteme yüklenir ve komuta ve kontrol sunucularına bağlantı kurmak ve ek kötü amaçlı yazılım bileşenlerini indirmek gibi diğer kötü amaçlı etkinlikler için bir yapı taşı görevi görür.
Bir Komuta ve Kontrol Sunucusuna bağlanır
TrueBot DLL yerleştirildikten sonra, Lace Tempest'in kötü amaçlı yazılımı bir komut ve kontrol (C2) sunucusuna bağlanır. Bu bağlantı, saldırganların güvenliği ihlal edilmiş sistemden komutlar göndermesine ve veri almasına olanak tanıyarak veri hırsızlığını kolaylaştırır ve Cobalt Strike Beacon gibi ek kötü amaçlı yazılım bileşenlerinin veya araçlarının konuşlandırılmasını sağlar.
Fidye Yazılımı Teslimi için Kobalt Saldırı İşaretini Kullanma
Lace Tempest, saldırı zincirinin bir parçası olarak genellikle Cobalt Strike Beacon'ı kullanır. Cobalt Strike, "Beacon" adlı bir sömürü sonrası aracı içeren yasal bir penetrasyon testi aracıdır. Ne yazık ki, Lace Tempest gibi siber suçlular bu aracı kötü niyetli amaçları için yeniden kullandılar. Bu durumda, Clop fidye yazılımını hedeflenen sistemlere teslim etmek için Cobalt Strike Beacon'u kullanırlar. Fidye yazılımı dağıtıldıktan sonra, sistemdeki dosyaları şifreler ve şifre çözme anahtarları için fidye talep ederek kurbanların verilerini etkili bir şekilde rehin alır.
Fidye Yazılımı İşlemlerinde Değişim
Son yıllarda Clop gibi fidye yazılımı çetelerinin operasyonlarında gözle görülür bir değişiklik oldu. Saldırganlar artık yalnızca verileri şifrelemeye güvenmek ve şifre çözme anahtarları için fidye talep etmek yerine, gasp amacıyla hassas verileri çalmaya öncelik veriyor. Taktiklerdeki bu değişiklik, siber saldırıları daha da tehdit edici hale getirdi, çünkü kötü niyetli aktörler artık sağlam yedekleme stratejileri olsa bile kurbanları fidye ödemeye zorlamak için çalınan verilerden yararlanabiliyor.
Gasp Amaçlı Verileri Çalmaya Odaklanma
Fidye yazılımı çeteleri, verileri gasp amacıyla çalmanın, kurbanları rehin almak için şifrelemeye güvenmekten daha kazançlı sonuçlar verebileceğini fark etti. Saldırganlar artık hassas bilgileri dışarı sızdırarak, çalınan verileri karanlık ağda yayınlama veya satma tehdidinde bulunabilir ve bu da potansiyel olarak kuruluşlara önemli mali ve itibarsal zarar verebilir. Bu ek baskı, kurbanların talep edilen fidyeleri ödeme olasılığını artırır.
Saldırılarda Veri Hırsızlığına Öncelik Verme
Bu değişime paralel olarak, Lace Tempest gibi fidye yazılımı çeteleri, saldırılarında veri hırsızlığına öncelik vermeye başladı. Bu kötü niyetli aktörler, PowerShell komutları, TrueBot DLL ve Cobalt Strike Beacon kullanmak gibi gelişmiş saldırı taktikleri geliştirerek, savunmasız sistemlere sızabilir ve verileri şifrelemeden önce sızdırarak başarılı bir haraç alma şanslarını etkili bir şekilde artırır.
Veri Sızdırması için Güvenlik Açıklarından Yararlanan Clop Gang Geçmişi
Clop çetesinin veri hırsızlığı amacıyla güvenlik açıklarından yararlanma geçmişi var. Örneğin, 2020'de Clop operatörleri, Global Accellion'ı başarıyla hackledi ve şirketin Dosya Aktarım Cihazı uygulamasında açıklanan güvenlik açıklarını kullanarak yaklaşık 100 şirketten veri çaldı. Yakın zamanda Clop çetesi, 130 şirketten veri çalmak için GoAnywhere MFT güvenli dosya paylaşım platformundaki sıfır gün güvenlik açıklarından yararlandı. Veri hırsızlığı için güvenlik açıklarından yararlanma modeli, sürekli gelişen fidye yazılımı ortamıyla birleştiğinde, kuruluşların kritik varlıklarını korumak için sağlam güvenlik önlemleri alma ve güncel yazılımları sürdürme ihtiyacını vurgular.