16.8 C
İstanbul
15/04/2024
Image default
Güncel ZafiyetlerHaberlerSiber Saldırılar

Sunburst Backdoor!

Geçtiğimiz hafta meydana gelen Fireeye saldırısının analiz raporu Fireeye tarafından yayınlandı.

UNC2452 adı verilen kampanyada tüm dünyada etkili olan bir açıklığı kullanıldığı tespit edilmiştir. SolarWinds Orion business software güncellemelerinin Sunburst adı verilen bir arka kapıya neden olduğu ve bu sayede trojan yerleştirildiği Fireeye tarafından ifade edilmiştir. Atak teknikleri içinde yakalanmayı ve tespiti zorlaştırmak için birçok metot olduğu belirtilmiştir. Açıklık sebebiyle dünya çapında birçok kurumun benzer saldırılara karşı zaafiyetli olduğu bilgisi ve saldırının akabinde sızdırılan redteam araçları için bilgiler Fireeye tarafından paylaşılmıştır.

Resim 1: Açıklık bulunan Solarwinds Yama İmzası

Aşağıdaki linkte zaafiyete neden olan yama linki paylaşılmıştır:

“hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp”

Saldırıda, Teardrop ve Beacon zararlı yazılımlarının kullanıldığı bilinmektedir. Kullanılan teknikler arasında Domain Generation Algorithm(DGA) gibi ilginç yöntemler bulunmaktadır. Rapor incelemesinde gerçekleştirilen siber saldırının son derece dikkatli ve özenli yapıldığı göze çarpmaktadır. Fireeye tarafından yayınlanan raporun tamamını kaynaklar başlığı altında bulabilirsiniz.

Solarwinds tarafından “Orion Platform version 2020.2.1 HF 1” güncellemesinin yapılmasının gerektiği bilgisi paylaşılmıştır. “Orion Platform version 2020.2.1 HF 2” güncellemesi 15 Aralık 2020 tarihinde kurum tarafından yayınlanacaktır.

Kaynaklar

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

https://www.solarwinds.com/securityadvisory

https://www.zdnet.com/article/microsoft-fireeye-confirm-solarwinds-supply-chain-attack/

https://github.com/fireeye/sunburst_countermeasures

Related posts

UCSF, şifre için 1.14 milyon dolar ödedi!

Serdar H.

ZOOM’DA 2 KRİTİK GÜVENLİK AÇIĞI!

Mustafa Okay Maktav

VT San Antonio Aerospace sistemleri Maze Ransomware ile şifrelendi!

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası