ABD savunma ve yazılım şirketlerini hedeflediği bilinen Çin tabanlı bilgisayar korsanları artık SolarWinds Serv-U FTP sunucusundaki güvenlik açığı kullanarak organizasyonları hedef alıyor.
Günümüzde SolarWinds, SSH'nin etkinleştirildiğinde uzaktan kod yürütülmesine izin veren Serv-U FTP sunucularında sıfır gün güvenlik açığı için bir güvenlik güncelleştirmesi yayınladı.
Solarwinds'e göre, bu güvenlik açığı, güvenlik açısından açıklanmış müşterinin cihazlarında komutları çalıştırmak için aktif olarak kullanan bir tehdit aktörünü gören Microsoft tarafından açıklandı.
Bu gece, Microsoft, saldırıların 'dev-0322' olarak izlenen Çin tabanlı bir tehdit grubuna yüksek güvenle ilişkilendirildiğini ortaya koydu.
Microsoft ThisN Intelligence Center, "Bu etkinlik grubu Çin'de Çin merkezli ve ticari VPN çözümleri kullanılarak ve saldırganlık altyapılarındaki tüketici yönlendiricilerini tehlikeye atarak gözlemlenmiştir" diyor.
Microsoft, Dev-0322 Hacking Grubu'nun ABD Savunma Endüstriyel Baz Sektöründe ve Yazılım Şirketlerinde daha önce hedefleri hedeflediğini söylüyor.
"DIB sektörü, araştırma ve geliştirme (Ar-Ge), askeri silah sistemlerinin, alt sistemlerin ve bileşenlerin veya parçaların tasarım, üretim, teslimat ve bakımını sağlayan dünya çapında endüstriyel kompleksdir," ABD askeri gereksinimlerini karşılamak için " DIB sektörünü tanımlayan CISA belgesi.
Microsoft, Microsoft 365 Defender Telemetrisinin normalde zararsız bir hizmet sürecini gösterdikten sonra atakları ilk öğrendiklerini söylüyor.
Uzaktan Kod Yürütme Güvenlik Açığı aracılığıyla yürütülen komutlardan bazıları aşağıda listelenmiştir.
"Dev-0322'yu, CMD.exe komutlarının çıkışını, internetten erişilebilen Serv-U \ Client \ Common \ klasöründeki dosyalara varsayılan olarak, saldırganların komutların sonuçlarını alabilmelerini sağladık. "Microsoft, blog yazılarında açıklar.
Diğer komutlar, Serv-U FTP Sunucusu yapılandırmasına Global Yönetici kullanıcısı ekler ya da Kalıcılık ve Uzaktan Erişim için cihazlara kötü amaçlı yazılım yüklemek için parti dosyalarını ve komut dosyalarını başlatacak.
Microsoft, Serv-U kullanıcılarının, serv-u debugsocketlog.txt günlük dosyasını kontrol edip, istisna mesajlarını arayarak cihazlarının denetlenip tehlikeye girmeyeceğini denetleyebileceğini söylüyor.
Bir "C0000005; CSUSSCOCKET :: ProcessReceive" istisnası, tehdit aktörlerinin Serv-U sunucusunu sömürmeye çalıştığını, ancak istisna da diğer nedenlerden dolayı gösterilebileceğini gösterebilir.
Günlüklerde görülen bir örnek istisna aşağıda görüntülenir.
Bir cihazın tehlikeye girebileceği diğer işaretler:
BleepingComputer, toplu iş dosyası ve komut dosyaları tarafından hangi komutların veya kötü amaçlı yazılımların hangi komutların veya kötü amaçlı yazılımların yürütüldüğü hakkında daha fazla bilgi edinmek için Microsoft'a ulaştı.
Güncelleme 7/14/21: 'Dev-0322' belirtmek için düzeltilmiş makale, tarihsel olarak savunma orglarını hedeflediği bilinmektedir.
Solarwinds, vahşi doğada sömürülen kritik serv-u güvenlik açığını yamalar
Microsoft Haziran 2021 Yama Salı Düzeltmeler 6 Kullanıcı sıfır gün, 50 kusur
Google: Rusça SVR bilgisayar korsanları, LinkedIn kullanıcıları Safari sıfır günü ile hedefledi
Microsoft Temmuz 2021 Yama Salı Düzeltmeler 9 Sıfır Gün, 117 Kusurlar
Kaseya Yamaları VSA Ransomware Saldırısında Kullanılan VSA Güvenlik Açıkları
Kaynak: Bleeping Computer