Rusya bağlantılı olduğu düşünülen bir hacker grubu, Windows NT LAN Manager (NTLM)'deki yeni bir güvenlik açığını Ukrayna’ya yönelik siber saldırılarda kullanarak, hedef sistemlere uzaktan erişim sağlayan RAT zararlı yazılımını bulaştırmayı başardı.
Buna göre, Güvenlik Açığı Bilgileri (CVE-2024-43451); bu NTLM güvenlik açığı, NTLMv2 hash verilerini çalmak amacıyla kullanılan bir sahte kimlik doğrulama açığı olarak tanımlanıyor. Microsoft bu açığı geçtiğimiz haftaki güncelleme ile kapattı. Ancak bu zafiyetin bedeli CVSS puanına 6.5 olarak yansıdı.
Spark RAT Adlı Yazılımı Dağıtıyorlar
İsrail merkezli siber güvenlik firması ClearSky, bu güvenlik açığının sıfır gün saldırısı olarak Haziran 2024’te fark edildiğini ve Spark RAT isimli açık kaynaklı zararlı yazılımı dağıtmak amacıyla kullanıldığını belirtti. Saldırının adımları şöyle listeleniyor:
- Saldırganlar, phishing (oltalama) e-postaları yoluyla kullanıcıları tuzağa çekerek, Ukrayna hükümetine ait ele geçirilmiş bir sunucudan gönderilen mesajlar ile kullanıcıları akademik belgelerini yenilemeleri için tuzaklı URL dosyasına tıklamaya yönlendiriyorlar.
- Kullanıcı bir ZIP arşivinde saklanan URL dosyasına tek tıkla veya sağ tıklayarak eriştiğinde, güvenlik açığı harekete geçiyor.
- URL dosyası, uzaktaki bir sunucuya bağlantı kurarak Spark RAT gibi ek zararlı yazılımları indiriyor.
ClearSky'ın belirttiğine göre bu saldırı zinciri, SMB protokolü üzerinden NTLM Hash’in aktarılmasıyla ilgili bir uyarı veriyor. Bu hash, saldırganın kullanıcı adıyla kimlik doğrulama işlemlerini şifresiz gerçekleştirebileceği Pass-the-Hash saldırılarına yol açabiliyor.
Nasıl Güvende Kalabilirsiniz?
Bu gibi saldırılardan korunmak için uygulayacağınız belli başlı yöntemler bulunuyor. Bunlardan bazıları:
- Şüpheli e-postalardan uzak durun: Belgeleri veya sertifikaları yenilemenizi isteyen linklere tıklarken dikkatli olun.
- Güncellemeleri yükleyin: Microsoft'un son NTLM yamasını yükleyerek bu açıktan derhal kurtulun.
- Şifre yönetimine dikkat edin: Pass-the-Hash saldırılarından korunmak için güçlü ve güncel parolalar kullanın.
YORUMLAR