Kaspersky, birden çok Microsoft Windows sunucusunda ayrıcalık yükseltmesi kullanan bir dizi saldırı tespit etti. Bu güvenlik açığı, CVE-2016-3309 güvenlik açığı için genel olarak bilinen eski bir istismara ait birçok hata ayıklama dizesine sahipti. Ancak daha yakından yapılan analizler, araştırmacıların yeni bir sıfır gün açığı keşfettiğini ortaya çıkardı. Araştırmacılar, bu etkinlik kümesine MysterySnail adını verdi.
Komuta ve Kontrol (C&C) altyapısıyla keşfedilen kod benzerliği ve yeniden kullanımı, araştırmacıları bu saldırıları kötü şöhretli IronHusky grubuyla ve 2012 yılına dayanan Çince konuşan APT etkinliğiyle ilişkilendirmeye yöneltti.
Sıfır gün açığıyla birlikte kullanılan kötü amaçlı yazılım yükünü analiz eden Kaspersky araştırmacıları, bu kötü amaçlı yazılımın çeşitlerinin BT şirketlerine, askeri ve savunma sanayi yüklenicilerine ve diplomatik kuruluşlara yönelik yaygın casusluk kampanyalarında kullanıldığını buldu. Güvenlik açığı Microsoft’a bildirildi ve Salı Ekim Yamasının bir parçası olarak 12 Ekim 2021’de yamalandı.
Kuruluşunuzu yukarıda belirtilen güvenlik açıklarından yararlanan saldırılardan korumak için uzmanlar şunları öneriyor:
- Microsoft Windows işletim sistemini ve diğer üçüncü taraf yazılımlarını mümkün olan en kısa sürede güncelleyin ve bunu düzenli olarak yapın.
- Kötüye kullanım önleme, davranış algılama ve kötü amaçlı eylemleri geri alabilen bir düzeltme motoruyla desteklenen güvenilir bir uç nokta güvenlik çözümü kullanın.
- Anti-APT ve EDR çözümlerini kurun, tehdit keşfi ve tespit yetenekleri, soruşturma ve olayların zamanında düzeltilmesini sağlayın. SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle düzenli olarak becerilerini yükseltin.
- Uygun uç nokta korumasının yanı sıra, özel hizmetler yüksek profilli saldırılara karşı yardımcı olabilir. Güvenlik yazılımlarıi saldırganlar hedeflerine ulaşmadan önce erken aşamalarda saldırıları tespit etmeye ve durdurmaya yardımcı olur.
Sıfır gün açığı nedir?
Sıfır gün güvenlik açığı, satıcının farkına varmadan önce saldırganlar tarafından keşfedilen bilinmeyen bir yazılım hatasıdır. Satıcılar henüz farkında olmadığından sıfırıncı gün güvenlik açıkları için hiçbir yama mevcut değildir ve bu da saldırıların beklenmedik ölçüde başarılı olmasına neden olur.