WatchGuard, 2022 yılının 3. çeyreğinde WatchGuard Tehdit Laboratuvarı araştırmacıları tarafından analiz edilen en önemli kötü amaçlı yazılım trendlerinin yanı sıra ağ ve uç nokta güvenlik tehditlerini detaylandırdığı üç aylık İnternet Güvenlik Raporu’nu açıkladı.
Verilerden elde edilen bulgular, bu çeyreğin en önemli kötü amaçlı yazılım tehdidinin yalnızca şifreli bağlantılar üzerinden tespit edildiğine, ICS saldırılarının popülerliğini koruduğuna, LemonDuck kötü amaçlı yazılımının kriptominer dağıtımının ötesine geçtiğine, bir Minecraft hile motorunun ise kötü amaçlı bir ek içerdiğine ve çok daha fazlasına ışık tutuyor. “Düzgün bir şekilde yapmak için bazı ayarlamalar ve istisnalar gerektirse bile HTTPS denetiminin etkinleştirilmesinin ne kadar önemli olduğunu yeterince vurgulayamıyoruz.” diyen WatchGuard Technologies’in Baş Güvenlik Sorumlusu Corey Nachreiner, “Kötü amaçlı yazılımların çoğu şifrelenmiş HTTPS üzerinden ulaşıyor ve bunu denetlememek de bu tehditleri kaçırdığınız anlamına geliyor.” ifadelerinde bulundu.
WatchGuard’ın araştırması ayrıca ortadaki düşman saldırılarının metalaşmasını, istismar kitlerinde JavaScript gizlemesini ve Gothic Panda bağlantılı bir kötü amaçlı yazılım ailesini de analiz ediyor. Güncelleme yapmanın saldırılardan kaçınmak için kritik bir yol olduğunu dile getiren Baş Güvenlik Sorumlusu Corey Nachreiner, “Haklı olarak, saldırganlar için Exchange sunucusu veya SCADA yönetim sistemi gibi büyük ödüller de bu çeyrekte olağanüstü bir ilgiyi hak ediyor. Bir yama mevcut olduğunda, hemen güncelleme yapmak önemlidir çünkü saldırganlar eninde sonunda en son yamayı henüz uygulamamış olan herhangi bir kuruluştan faydalanacaktır.” açıklamasını yaptı.
WatchGuard’ın 2022 yılı İnternet Güvenliği 3. Çeyrek Raporu’nda yer alan diğer önemli bulgular şu şekilde sıralandı;
“1. Kötü amaçlı yazılımların büyük çoğunluğu şifrelenmiş bağlantılar üzerinden geliyor.”
Agent.IIQ bu çeyrekte ilk 10 kötü amaçlı yazılım listesinde üçüncü sırada yer almasına rağmen, 3. çeyrek için şifrelenmiş kötü amaçlı yazılım listesinin en üstünde yer aldı. Bu iki listedeki tespitlere bakıldığında tüm Agent.IIQ tespitlerinin şifrelenmiş bağlantılardan geldiği gözlemleniyor. Üçüncü çeyrekte bir Firebox cihazının tespit ettiği kötü amaçlı yazılımların yüzde 82’si bu şifrelenmiş bağlantıdan geliyordu ve geriye şifreleme olmadan tespit edilen yalnızca yüzde 18’lik yetersiz bir oran kalıyordu. Firebox’ta şifrelenmiş trafik denetlenmiyorsa bu ortalama oranın geçerli olması ve kötü amaçlı yazılımların büyük bir bölümünü kaçırıyor olma olasılığı artıyor. Bu sebeple, kuruluşlar, devletler ve KOBİ’ler, siber saldırılardan kaçınmak için uç nokta koruması uygulamalı.
“2. ICS ve SCADA sistemleri trend saldırı hedefleri olmaya devam ediyor“
Bu çeyrekte ilk 10 ağ saldırısı listesine yeni giren SQL enjeksiyon tipi bir saldırı birkaç satıcıyı etkiledi. Bu şirketlerden biri, WebAccess portalı çeşitli kritik altyapılardaki SCADA sistemleri için kullanılan Advantech’tir. Üçüncü çeyrekte hacim bakımından ilk beş ağ saldırısı arasında yer alan bir diğer ciddi istismar da Schneider Electric’in U.motion Builder yazılımının 1.2.1 ve önceki sürümlerini içeriyordu. Bu, saldırganların sessizce bir fırsat beklemediklerini, aksine mümkün olan her yerde aktif olarak sistemi tehlikeye atmaya çalıştıklarını gösteriyor.
“3. Exchange sunucu güvenlik açıkları risk oluşturmaya devam ediyor”
Threat Lab’ın bu çeyrekte yeni imzaları arasında yer alan en yeni CVE, CVE-2021-26855, şirket içi sunucular için bir Microsoft Exchange Server Uzaktan Kod Yürütme (RCE) güvenlik açığıdır. Bu RCE güvenlik açığına 9,8 CVE puanı verildi ve açığın saldırganlar tarafından istismar edildiği de biliniyor. HAFNIUM grubu tarafından kullanılan açıklardan biri olduğu için bu CVE-2021-26855’in tarihi ve önem derecesi de bir zil çalmalıdır. Bundan etkilenen Exchange sunucularının çoğu şimdiye kadar yamalanmış olsa da çoğu herkese eşit değildir. Bu nedenle riskler devam etmektedir.
“4. Özgür yazılım arayanları hedef alan tehdit aktörleri”
Fugrafa, kötü amaçlı kod enjekte eden kötü amaçlı yazılım indiriyor. Bu çeyrekte WatchGuard Tehdit Laboratuvarı, popüler oyun Minecraft için bir hile motorunda bulunan bir örneğini inceledi. Öncelikle Discord’da paylaşılan dosya Minecraft hile motoru Vape V4 Beta olduğunu iddia etse de içerdiği tek şey bu değil. Agent.FZUW, Variant.Fugrafa ile birtakım benzerlikler taşıyor ancak bir hile motoru aracılığıyla kurulum yerine, dosyanın kendisi kırılmış bir yazılıma sahipmiş gibi davranıyor. Tehdit Laboratuvarı, bu özel örneğin kripto para birimi değişim hizmetlerinden hesap bilgilerini ele geçirmek için kullanılan bir kripto para birimi hackleme kampanyası olan Racoon Stealer ile bağlantıları olduğunu keşfetti.
“5. LemonDuck kötü amaçlı yazılımı kriptominer dağıtımının ötesine geçiyor”
2022’nin üçüncü çeyreğinde engellenen veya izlenen toplam kötü amaçlı yazılım alan adlarında bir düşüş olsa bile şüphelenmeyen kullanıcılara yönelik saldırıların hala yüksek olduğunu görmek mümkün. En iyi kötü amaçlı yazılım etki alanları listesine üç yeni ekleme yapıldı; bunlardan ikisi eski LemonDuck kötü amaçlı yazılım alan adlarıyken diğeri ise Emotet sınıflandırılmış alan adının bir parçasıydı. 3. çeyrekte normalden daha yeni alan adları olan daha fazla kötü amaçlı yazılım ve kötü amaçlı yazılım girişimi sitesi görüldü. Bu eğilim, saldırganlar kullanıcıları kandırmak için başka yerler aradıkça, kargaşa içindeki kripto para birimi ortamıyla birlikte değişecek ve modifiye edilecek. DNS korumasını etkin tutmak, şüphelenmeyen kullanıcıların kuruluşunuza kötü amaçlı yazılım veya diğer ciddi sorunların girmesine izin vermesini izlemenin ve engellemenin bir yolu olarak ortaya çıkıyor.
“6. İstismar kitlerinde JavaScript gizleme”
Tarayıcılara yönelik JavaScript gizleme saldırılarını tespit etmeye yönelik genel bir güvenlik açığı olan 1132518 numaralı imza, bu çeyrekte en yaygın ağ saldırısı imzaları listesine eklenen tek yeni imza türü oldu. JavaScript, kullanıcılara saldırmak için yaygın bir vektördür ve tehdit aktörleri JavaScript tabanlı istismar kitlerini her zaman kullanmaktadır. Kötü amaçlı reklamcılık, watering hole ve kimlik avı saldırıları bunlardan sadece birkaçını gösteriyor. Tarayıcılardaki savunma güçlendirmeleri geliştikçe, saldırganların kötü niyetli JavaScript kodunu gizleme becerileri de gelişiyor.
“7. Metalaştırılmış ortadaki düşman saldırılarının anatomisi”
Çok faktörlü kimlik doğrulama (MFA), kimlik doğrulama saldırılarının çoğuna karşı koruma sağlamak için kullanılabilecek en iyi teknoloji olsa da tek başına tüm saldırı vektörlerine karşı kritik bir çözüm değildir. Siber saldırganlar, ortadaki düşman (AitM) saldırılarının hızlı yükselişi ve metalaşmasıyla bunu açıkça ortaya koydu. Ek olarak WatchGuard Tehdit Laboratuvarı’nın, 3. çeyreğin en önemli güvenlik olayı olan EvilProxy’yi derinlemesine incelemesi kötü niyetli aktörlerin daha sofistike AitM tekniklerine nasıl dönmeye başladığını gösteriyor. Son yıllarda popüler hale gelen Hizmet Olarak Fidye Yazılımı gibi Eylül 2022’de EvilProxy adlı bir AitM araç setinin piyasaya sürülmesi, daha önce sofistike bir saldırı tekniği olan bu yöntem için giriş engelini önemli ölçüde düşürdü. Savunma açısından bakıldığında, bu tür bir AitM saldırı tekniğiyle başarılı bir şekilde mücadele etmek hem teknik araçların hem de kullanıcı farkındalığının bir karışımını gerektiriyor.
“8. Gothic Panda ile bağlantılı bir kötü amaçlı yazılım ailesi”
2022 2. çeyrek raporumuzda, Çin Devlet Güvenlik Bakanlığı ile bağlantılı devlet destekli bir tehdit aktörü olan Gothic Panda’nın o çeyrekteki en etkili kötü amaçlı yazılım tespitlerinden birini nasıl kullandığı açıklanmıştı. İlginç bir şekilde, 3. çeyreğin en iyi şifrelenmiş kötü amaçlı yazılım listesi, yalnızca Gothic Panda tarafından oluşturulmayan ve yalnızca Çin hükümeti siber aktörleri tarafından kullanıldığı görülen Taidoor adlı bir kötü amaçlı yazılım ailesini içeriyor. Bu kötü amaçlı yazılım genellikle Japonya ve Tayvan’daki hedeflere odaklanırken, bu çeyrekte analiz edilen Generic.Taidoor örneğinin öncelikle Fransa’daki kuruluşları hedef aldığı tespit edildi. Bu durum da bu bölgedeki bazı Firebox’ların devlet destekli bir siber saldırının bazı bölümlerini tespit etmiş ve engellemiş olabileceğini gösteriyor.
“9. Yeni fidye yazılımı ve siber suç grupları”
Ek olarak bu çeyrekte WatchGuard Tehdit Laboratuvarı, mevcut fidye yazılımı ve siber suç gruplarını izlemek ve gelecekteki raporlarda fidye yazılımıyla ilgili daha fazla bilgi sağlama amacıyla tehdit istihbarat yeteneklerini geliştirmek için yeni ve uyumlu bir çabayı duyurmaktan heyecan duyuyor. LockBit, karanlık web sayfalarında 200’den fazla halka açık fidye yazılımı ile 3. çeyrekte listenin başında yer alıyor. Bu, WatchGuard’ın 3. çeyrekte gözlemlediği en üretken ikinci fidye yazılımı grubu olan Basta’nın neredeyse dört katı.
WatchGuard’ın üç aylık araştırma raporları, WatchGuard Tehdit Laboratuvarı’nın araştırma çabalarını doğrudan desteklemek için veri paylaşmayı tercih eden aktif WatchGuard Firebox’lardan alınan anonimleştirilmiş Firebox Feed verilerine dayanıyor. WatchGuard, 3. çeyrekte toplam 17,3 milyondan fazla kötü amaçlı yazılım çeşidini (cihaz başına 211) ve 2,3 milyondan fazla ağ tehdidini (cihaz başına 28) engelledi. Raporun tamamı, 2022’nin 3. çeyreğindeki ek kötü amaçlı yazılım ve ağ trendleri, önerilen güvenlik stratejileri, her büyüklükteki ve her sektördeki işletmeler için kritik savunma ipuçları ve daha fazlası hakkında ayrıntılar içeriyor.