Haberler

Blue Mockingbird Siber Suç Örgütü Binlerce Şirket Sistemini Ele Geçirdi

Bilgi Güvende

tarafından

27 Mayıs 2020

tarihinde yayımlandı

Blue Mockingbird adlı siber suç örgütü tarafından kullanılan kötü amaçlı kripto para-madenciliği yazılımı ile binlerce şirketin bilgisayar ağına sızıldığı tespit edildi. Saldırı, Mayıs ayı başında tespit edilirken, Blue Mockingbird Aralık 2019’dan bu yana siber saldırılar düzenleyen bir siber korsan örgütü olarak biliniyor.

Siber korsanlar saldırı düzenledikleri sunucularda CVE-2019-18935 adlı güvenlik zafiyetini kullanıyor. Ardından “Juicy Potato” yöntemi ile sızdıkları sunucuda yönetici seviyesinde kontrol elde ederek ayarları değiştirebiliyorlar. Sunucu üzerinde tam kontrol elde edildikten sonra Monero (XMR) kripto parasını çıkarmak için kullanılan XMRRig adlı yazılımı yüklüyorlar.

Güvenlik araştırmacıları, siber korsanların saldırıları için kamuya açık sunucuları seçtiğini bildirdi. Saldırıya uğrayan sunucuların şirketin iç ağına bağlı olması halinde çeşitli saldırılar düzenleme imkânı da doğuyor. Bugüne kadar 1.000 şirketin sunucularında Juicy Potato yöntemi ile gerçekleştirilen sızıntı tespit eden uzmanlar, sayının gerçek tablodan çok uzak olabileceğin altını çiziyor.

Juicy Potato, gelişmiş bir “privilage escalation” aracı olarak biliniyor. Privilage escalation, işletim sistemleri veya yazılım uygulamalarında güvenlik zafiyeti tespit ederek sistemlere uzaktan erişim ve kontrolü mümkün kılıyor. Blue Mockingbird’ün kullanıcı arayüzü olarak Telerik kullanan kamu sunucuları hedef alması, dikkat çeken detay.

Uygulamaların güncel tutulması öneriliyor

ABD Ulusal Güvenlik Ajansı (NSA), Nisan 2019’daki açıklamasında sunuculara “web shell” yüklemek için en çok kullanılan güvenlik zafiyetinin Telerik UI CVE-2019-18935 olduğunu belirtmişti. Web shell, sunucular üzerinde uzaktan kontrol sağlamak için kullanılan komut dizini olarak biliniyor.

Şirketlerin Telerik arayüzünden doğan güvenlik açıklarına maruz kalmaması için kullandıkları uygulamaları sürekli güncel tutmaları gerekiyor. Blue Mockingbird siber suç örgütünün düzenlediği türden saldırılara maruz kalınmaması esasıyla güvenlik duvarlarında CVE-2019-18935 açığına karşı işlemlerin bloke edilmesi de diğer tavsiyeler arasında.