Kaspersky uzmanları, Microsoft tarafından düzenlenen tanınan bir web sunucusu olan Internet Information Services (IIS) içine makûs maksatlı bir modül olarak yerleşen, yeni tespit ettiği SessionManager art kapısını gün ışığına çıkardı. SessionManager sisteme bulaşmasının akabinde e-posta toplamaktan kurbanın altyapısı üzerinde tam denetim sağlamaya kadar çok çeşitli makus maksatlı etkinliklere imkan tanıyor. Birinci olarak Mart 2021’in sonlarında keşfedilen art kapı Kuveyt, Suudi Arabistan, Nijerya, Kenya ve Türkiye dahil olmak üzere Orta Doğu, Türkiye ve Afrika bölgesinden sekiz ülkede hükümet kurumlarını ve sivil toplum kuruluşlarını hedefliyor.
Aralık 2021’de Kaspersky, bir kullanıcının Outlook Web Access’te (OWA) oturum açarken girdiği kimlik bilgilerini çalan, evvelce bilinmeyen bir IIS modülü olan “Owowa”yı ortaya çıkardı. O vakitten beri, şirketin uzmanları siber kabahat faaliyeti için yeni fırsatları takibe aldılar. Bu sırada IIS içine dağıtmak üzere bir art kapı yerleştirmenin, daha evvel Microsoft Exchange içindeki “ProxyLogon tipi” güvenlik açıklarından birini kullanan tehdit aktörleri için yeni bir eğilim olduğu ortaya çıktı. Yakın vakitte yaptıkları bir araştırma sırasında Kaspersky uzmanları, SessionManager isimli yeni bir art kapı modülüyle karşılaştı.
SessionManager art kapısı, tehdit aktörlerinin hedeflenen kuruluşun BT altyapısına kalıcı, güncellemeye güçlü ve epey bâtın erişim sağlamasına yol açıyor. Kurbanın sistemine bir defa girdikten sonra art kapıyı kullanan siber hatalılar, şirket e-postalarına erişebiliyor, öbür makus emelli yazılımları yükleyerek daha fazla makus gayeli erişimi güncelleyebiliyor yahut makus emelli altyapı olarak kullanılabilecekleri, güvenliği ihlal edilmiş sunucuları gizlice yönetebiliyor.
SessionManager’ın ayırt edici bir özelliği zayıf algılama oranı. Birinci olarak 2022’nin başlarında Kaspersky araştırmacıları tarafından keşfedilen kimi art kapı örnekleri, en tanınan çevrimiçi evrak tarama hizmetlerinde hala berbat emelli olarak işaretlenmiyor. Üstelik SessionManager hedeflenen kuruluşların 91’inden fazlasında konuşlandırılmış durumda.
Genel olarak Avrupa, Orta Doğu, Güney Asya ve Afrika’dan 24 kuruluşun 34 sunucusu SessionManager tarafından ele geçirildi. SessionManager’ı işleten tehdit aktörü STK’lara ve devlet kurumlarına özel bir ilgi gösteriyor. Fakat bunların yanı sıra tıbbi kuruluşları, petrol ve nakliye şirketlerini de amaç alıyor.
Benzer bir mağduriyet ve yaygın “OwlProxy” varyantının kullanılması nedeniyle Kaspersky uzmanları, berbat niyetli IIS modülünün, casusluk operasyonlarının bir modülü olarak GELSEMIUM tehdit aktörü tarafından kullanılmış olabileceğini düşünüyor.
Kaspersky Global Araştırma ve Tahlil Grubu Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Exchange sunucularındaki güvenlik açıklarından yararlanma, 2021 yılının birinci çeyreğinden bu yana hedeflenen altyapıya girmek isteyen siber hatalıların gözdesi oldu. Bu, bilhassa uzun müddettir fark edilmeyen bir dizi siber casusluk kampanyasını mümkün kıldı. Yakın vakitte keşfedilen SessionManager, bir yıl boyunca zayıf bir halde algılandı. Devasa ve gibisi görülmemiş sunucu tarafı güvenlik açığı istismarıyla karşı karşıya kalan siber güvenlik aktörlerinin birden fazla, tespit ettikleri birinci ihlalleri araştırmak ve bunlara cevap vermekle meşguldü. Sonuç olarak bununla ilgili makus niyetli faaliyetleri aylar yahut yıllar sonra keşfetmek hala mümkün ve bu muhtemelen uzun bir müddet bu türlü devam edecek.”
Delcher, ayrıyeten şunları ekliyor: “Gerçek vakitli yahut yakın vakit evvel gerçekleşmiş siber tehditlere ait görünürlük kazanmak, şirketlerin varlıklarını muhafazaları açısından çok kıymetlidir. Bu tıp akınlar kıymetli mali yahut prestij kayıplarına neden olabilir ve gayenin operasyonlarını kesintiye uğratabilir. Tehdit istihbaratı, bu cins tehditlerin emniyetli ve vaktinde varsayım edilmesini sağlayan tek bileşendir. Hele Exchange sunucuları kelam konusu olduğunda bunu ne kadar vurgulasak az: Makus niyetli niyet ne olursa olsun, geçen yılın güvenlik açıkları onları kusursuz amaçlar haline getirdi. Bu nedenle şimdi yapılmadıysa Exchange sunucuları dikkatlice denetlenmeli ve bâtın implantlar açısından izlenmeli.”
Kaspersky eserleri, SessionManager dahil olmak üzere birçok makûs emelli IIS modülünü algılayabiliyor.
SessionManager’ın çalışma tarzı ve amaçları hakkında daha fazla bilgi edinmek için Securelist adresini ziyaret edebilirsiniz.
İşletmelerinizi bu çeşit tehditlerden korumak için Kaspersky uzmanları ayrıyeten şunları önermektedir:
- Açıkta kalan IIS sunucularında (özellikle Exchange sunucularında) yüklü IIS modüllerini tertipli olarak denetim edilmeli ve IIS sunucu paketindeki mevcut araçlardan yararlanılmalıdır. Microsoft sunucu eserlerinde her büyük güvenlik açığı duyurulduğunda, tehdit avı etkinliklerinizin bir modülü olarak bu tıp modülleri denetim etmelisiniz.
- Savunma stratejisi yanal hareketleri ve internete bilgi sızmasını tespit etmeye odaklanmalıdır. Siber hatalı irtibatlarını tespit etmek için giden trafiğe bilhassa dikkat edilmelidir. Bilgiler sistemli olarak yedeklenmeli ve acil bir durumda süratlice erişilebileceğinden emin olunmalıdır.
- Saldırganlar amaçlarına ulaşmadan evvel, saldırıyı erken basamaklarda belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response hizmeti üzere tahliller kullanılmalıdır.
- Kaspersky Endpoint Security for Business (KESB) üzere, berbata kullanım tedbire, davranış algılama ve makûs hedefli hareketleri geri alabilen bir düzeltme motoruyla desteklenen muteber bir uç nokta güvenlik tahlili tercih edilmelidir. KESB, siber hatalılar tarafından sistemden kaldırılmasını engelleyebilecek kendini muhafaza düzeneklerine sahiptir.
Kaynak: (BYZHA) – Beyaz Haber Ajansı