Tayvan’da bir üniversite daha önce belgelenmeyen bir Windows arka kapısına sahip karmaşık bir siber saldırıya maruz kaldı. Saldırıda kullanılan yöntem ve hackerların keşfettiği bu açık, tüm siber güvenlik uzmanlarını alarma geçirmiş durumda. İşte yapılan saldırıya dair detaylar…
Windows işletim sistemlerinde görülmemiş açık!
Siber uzmanlar tarafından ‘Msupedge’ olarak adlandırılan bu kötü niyetli yazılım, komuta ve kontrol (C&C) sunucusu ile iletişim kurmak için alışılmadık bir yöntem kullanıyor ve siber güvenlik araştırmacıları tarafından daha önce hiç rastlamadıkları bir saldırı olarak nitelendiriliyor.
Symantec Tehdit Avcısı Ekibi’nin raporuna göre, Msupedge bir dinamik bağlantı kitaplığı (.DLL) olarak tasarlanmış ve C&C sunucusu ile DNS trafiği kullanarak iletişim kuruyor. Bu yöntem, ‘DNS tünelleme’ olarak biliniyor ve nadiren görülen bir teknik olarak değerlendiriliyor. Bu tekniğin başarı oranının da çok düşük olduğunu eklemek gerek.
CrowdStrike, tüm dünyanın sistemlerinin çökmesi olayının ardından hiçbir şey olmamış gibi Black Hat konferansında hacker etkinliği düzenledi.
Arka kapı, operatörlerine hedef uç noktada işlemler oluşturma, dosya indirme, önceden belirlenmiş bir süre boyunca sistemi kapatma, geçici bir dosya oluşturma ve dosyaları silebilme gibi çeşitli imkanlar sunuyor. Bu yöntemleri bir üniversitenin veri tabanına sızmak için kullanan hackerların gerçek amacı şimdilik bilinmiyor.
Saldırının ilk aşamasında, 9.8/10 şiddet puanına sahip kritik bir PHP açığı (CVE-2024-4577 olarak adlandırılıyor) kullanılarak uzaktan kod yürütme sağlandığı belirtiliyor. Bu açığın, saldırganların üniversite sistemlerine ilk erişimi elde etmelerine olanak sağladığı düşünülüyor.
Soruşturma devam ederken, siber güvenlik uzmanları ve Tayvanlı yetkililer, yapılan saldırının kapsamını ve üniversitenin sistemleri üzerindeki etkiyi belirlemeye çalışıyor.
