Binlerce e-posta sunucusu tehlike altında

Binlerce e-posta sunucusu tehlike altında

Binlerce e-posta sunucusu tehlike altında Siber güvenlik kuruluşu ESET, sayısı ondan fazla gelişmiş kalıcı tehdit grubunun (APT) e-posta sunucularına sızmak için Microsoft Exchange güvenlik açıklarını suistimal ettiğini fark etti.

Microsoft, Exchange Server güvenlik açıkları için yamalar yayınladı. Yamaların en kısa sürede yüklenmesi öneriliyor.

ESET Araştırma ekibi, 5 binden fazla e-posta sunucusunun saldırılardan etkilendiğini belirledi. Sunucuların, dünya genelinde aralarında yüksek profile sahip şirketlerin de yer aldığı birçok kuruluşa ve devlet kurumuna ait olduğu belirtildi.

SALDIRI NASIL GERÇEKLEŞTİRİLDİ?

Mart ayının başlarında Microsoft; 2013, 2016 ve 2019 sürümüne sahip Microsoft Exchange Server’ları için önceden kimlik doğrulama uzaktan kod yönetimi (RCE) güvenlik açıkları dizisini onaran yamalar yayımladı. Güvenlik açıkları, saldırganların geçerli bir hesabın kimlik bilgilerini bilmesine gerek kalmadan, erişim sağlanabilen Exchange sunucularını ele geçirmesine olanak tanıyor. Bu durum internete bağlı Exhange sunucularının ihlallere açık hale gelmesine neden oluyor.

10'DAN FAZLA TEHDİT GRUBU

ESET’in en son Exchange güvenlik açığı zinciriyle ilgili araştırmasına başkanlık eden Matthieu Faou bu konudaki görüşlerini şöyle ifade etti: “Yamaların yayımlandığı günün ertesinde Exchange sunucularını toplu halde tarayan ve ihlal eden saldırılarda artış gözlemlemeye başladık.

Ayrıca bu APT gruplarından biri hariç hepsi casusluk alanına odaklanan gruplar. Bir tanesinin ise bilinen bir kriptopara madenciliği ile ilişkili olduğu gözlendi. Ancak fidye yazılım operatörleri de dahil olmak üzere gittikçe daha fazla sayıda saldırgan, bu güvenlik açıklarına er ya da geç erişim sağlayacaktır.

”ESET araştırmacıları, bazı APT gruplarının güvenlik açıklarını yamalar yayımlanmadan çok daha önce suistimal ettiğini fark etti. ESET telemetrisi, 115’ten fazla ülkede 5 binden fazla benzersiz sunucuda web kabukları (bir internet tarayıcı yoluyla sunucunun uzaktan kontrol edilmesini sağlayan kötü amaçlı programlar veya dizinler) bulunduğunu tespit etti.

'YAMA YÜKLENMELİ' ÖNERİSİ

ESET, kurbanlarının e-posta sunucularına web kabuğu veya arka kapı gibi kötü amaçlı yazılım kurmak üzere en son Microsoft Exchange RCE güvenlik açıklarını kullanan ondan fazla farklı tehdit düzenleyen grup tespit etti. Bazı durumlarda ise farklı tehdit düzenleyenler aynı kuruluşu hedef aldı.

Matthieu Faou şu tavsiyede bulundu: “Tüm Exchange sunucularına mümkün olan en kısa sürede yama yüklenmelidir. İnternete doğrudan maruz kalmayan sunuculara bile yama yüklenmelidir. İhlal durumunda yöneticiler web kabuklarını kaldırmalı, giriş bilgilerini değiştirmeli ve başka bir kötü amaçlı yazılım olup olmadığını araştırmalıdır. Bu durum, Microsoft Exchange veya SharePoint gibi karmaşık uygulamaların internete açık olmaması gerektiğine dair bir hatırlatmadır.” ESET güvenlik ürünleri, özellikle saldırganlar tarafından yüklenen web kabukları ve arka kapılar gibi kötü amaçlı yazılımları tespit ederek, istismarın ardından saldırıların daha fazla ilerlemesine karşı koruma sağlıyor. Ek olarak, ESET Enterprise Inspector, müşterileri herhangi bir şüpheli güvenlik ihlali sonrası etkinliğe karşı uyarmada yararlı bir rol oynayabilir.

EXCHANGE SUNUCULARINI MUTLAKA KONTROL EDİN

Internete açık ve yamalanmamış sunucuların tehlikeye girme olasılığı yüksektir. Bu nedenle, internete açık sunucuların güvenlik değerlendirilmesini bir an önce gerçekleştirin. Güvenlik ihlali durumunda, yöneticiler web kabuklarını kaldırmalı, kimlik bilgilerini değiştirmeli ve herhangi bir ek kötü amaçlı etkinlik olup olmadığı araştırmalıdır. Microsoft tarafından yayınlanan yamaları mümkün olan en kısa sürede uygulamak en iyi tavsiye olsa da, yamaların uygulanması halihazırda virüs bulaşmış bir sunucuyu otomatik olarak temizlemediğinden, Exchange sunucularınızda kötü amaçlı web kabuklarının olup olmadığını kesinlikle kontrol edilmelidir. Bu sürecin sonunda, denetime devam edin ve kalan tüm sunucuları inceleyin.

TESPİT EDİLEN TEHDİT GRUPLARI VE DAVRANIŞ KÜMELERİ

Tick: BT hizmetleri sağlayan ve Doğu Asya’da bulunan bir şirketin internet sunucusuna sızmış. LuckyMouse ve Calypso’da olduğu gibi grubun yamalar yayımlanmadan önce sunucuya sızarak erişim sağladığı düşünülüyor.

LuckyMouse: Orta Doğu’daki bir devlet kurumunun e-posta sunucusuna sızmış. Bu APT grubunun yamalar yayımlanmadan en az bir gün önce ve hala sıfır günken sızıntıyı gerçekleştirmiş olması büyük bir olasılık.

Calypso: Orta Doğu’daki ve Güney Amerika’daki devlet kurumlarının e-posta sunucularına sızmış. Grubun, sıfır gün olarak sunucuya erişim sağladığı düşünülüyor. Daha sonraki günlerde Calypso operatörleri Afrika, Asya ve Avrupa’daki devlet kurumlarının ve özel şirketlerin diğer sunucularını da hedef aldı.

Websiic: Asya’da özel şirketlere (BT, iletişim ve mühendislik alanında) ait yedi e-posta sunucusunu ve Doğu Avrupa’daki bir devlet kurumunu hedef aldı. ESET, bu yeni etkinlik kümesine Websiic adını verdi.

Winnti Grup: Asya’da bir petrol şirketinin ve bir yapı malzemeleri şirketinin e-posta sunucularına sızmış. Grubun yamalar yayımlanmadan önce sunucuya sızarak erişim sağladığı düşünülüyor.

Tonto Ekibi: Doğu Avrupa’da bir tedarik şirketinin ve yazılım geliştirme ve siber güvenlik alanında uzmanlaşmış bir danışmanlık şirketinin e-posta sunucularına sızmış. ShadowPad etkinliği – Asya’daki bir yazılım geliştirme şirketinin ve Orta Doğu’daki bir emlak şirketinin e-posta sunucularına sızmış. ESET, ShadowPad arkakapının bir varyasyonunun bilinmeyen bir grup tarafından bırakıldığını tespit etti.

'Opera' Cobalt Hareketi: Yamalar yayımlandıktan yalnızca birkaç saat sonra çoğunlukla Amerika, Almanya, İngiltere ve diğer Avrupa ülkelerindeki 650 civarı sunucuyu hedef almış.

IIS Arka Kapılar: ESET, bu ihlallerde dört e-posta sürücüsüne ihlallerde kullanılan web kabukları yoluyla yüklenen IIS arka kapıların Asya ve Güney Amerika’da yer aldığını gözlemlemiştir. Arka kapılardan biri yaygın olarak Owlproxy olarak bilinir.

Mikroceen: Orta Asya’daki bir kamu hizmet kuruluşunun exchange sunucusuna sızmıştır. Bu grup genellikle bu bölgeyi hedef alır.

DLTMiner: ESET, daha önce Exchange güvenlik açıkları kullanılarak hedef alınan birçok e-posta sunucusunda PowerShell indirme yazılımı dağıtıldığını tespit etti. Bu saldırıda kullanılan ağ altyapısı, daha önce bildiren bir kriptopara madenciliği kampanyasıyla bağlantılıdır.

"Binlerce e-posta sunucusu tehlike altında" haberi, 13 Mart 2021 tarihinde yazılmıştır. 13 Mart 2021 tarihinde de güncellenmiştir. Teknoloji kategorisi altında bulunan Binlerce e-posta sunucusu tehlike altında haberi 2021 yılına aittir. Bu haberin yanı sıra sayfamızda birçok güncel bilgi ve son dakika haberler yer almaktadır. Binlerce e-posta sunucusu tehlike altında 2024 konusundaki bu haber içeriği objektif bakış açısının yansımasıdır. Teknoloji konusunda 29 Mart 2024 tarihlidir, bugüne ait güncel gelişmelerden haberdar olmak için bizi Twitter ve Facebook sayfalarımızdan takip edin.

YORUM YAZ

UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.
SON HABERLER
  1. 14:39 Kosova'nın Kuzey Mitroviça Bölgesinde Türkçe Resmi Dil Oldu!
  2. 14:37 Babacan'dan Erdoğan'a maaşı çağrısı: "Milyonlarca emekliyi aldatmaktan vazgeçin!"
  3. 14:34 Osayi-Samuel Trabzonspor Fenerbahçe Maç’ı İçin "Şiddet Maçı Bıraktırmalıydı”dedi
  4. 14:30 Maryland'deki Köprü Faciası: 60 Milyon Dolarlık Kurtarma Çabaları Devam Ediyor
  5. 14:26 Bayraktar: Üretici ve Market Arasındaki Fiyat Farklarına Dikkat Çekiyor
  6. 14:18 Premier Lig'den Radikal Karar: Top Toplayıcı Çocuklar Artık Oyunculara Top Vermeyecek!
  7. 14:14 Goldman Sachs: İstanbul Seçimleri Türk Lirası Üzerinde Olumlu Etki Yaratabilir
  8. 14:06 Yeniden Refah Partisi'ne TGRT'ten Engel: İstanbul Adayları Programa Alınmadı
  9. 14:01 Tacikistan'dan Rusya'daki Konser Salonu Saldırısıyla İlgili 9 Şüpheli Gözaltına Alındı
  10. 13:57 Nida Tüfekçi Güzel Sanatlar Lisesi Öğrencileri Şehitler İçin Vefa Hareketinde
  11. 13:54 Özel Okul Ücretleri Dudak Uçuklatıyor! 1 Milyon Liraya Ulaştı!
  12. 13:52 İEKKK Toplantısında Tunç Soyer'e Veda: "Yola Devam Ediyorum"
  13. 13:50 CHP'den İYİ Parti'ye Sert Tepki: "Kölelik İddialarına Karşı Duruş"
  14. 13:48 Bursa'da Metrobüs Projesi İçin Ön Sipariş Verildi: Mustafa Bozbey'in İncelemeleri
  15. 13:45 Çalışma Bakanı Işıkhan: "31 Mart'ta Yeni Bir Dönem Başlayacak"
  16. 13:45 Süper Lig 31. Hafta Hakemleri Belli Oldu: Öne Çıkan Maçlarda Kimler Düdük Çalacak?
  17. 13:41 Mert Çiller'e Eşine Yönelik Şiddet Davasında Adli Para Cezası Verildi
  18. 13:40 Tacikistan'da Moskova Saldırısıyla İlgili 9 Kişi Tutuklandı!
  19. 13:40 Madagaskar, Kasırga Felaketiyle Sarsıldı: 14 Kişi Hayatını Kaybetti!
  20. 13:37 Rusya'da Asker Alma Süreci: Sonbaharda 130.000 Yeni Asker Göreve Alındı
Teknoloji Haberleri