Dolandırıcılar, güvenlik araştırmacılarını yeni keşfedilen Microsoft Exchange sıfır gün güvenlik açıkları için sahte kavram kanıtı proxynotshell istismarları satmak için taklit ediyor.
Geçen hafta, Vietnam siber güvenlik firması GTSC, bazı müşterilerinin Microsoft Exchange'de iki yeni sıfır günlük güvenlik açığı kullanılarak saldırıya uğradığını açıkladı.
Trend Micro'nun Sıfır Gün Girişimi ile çalışan araştırmacılar, güvenlik açıklarını Microsoft'a özel olarak açıkladılar ve hataların saldırılarda kullanıldığını ve güvenlik güncellemelerini serbest bırakmak için hızlandırılmış bir zaman çizelgesi üzerinde çalıştıklarını doğruladı.
Microsoft, "Microsoft bu saldırıları küresel olarak 10'dan az organizasyonda gözlemledi. MSTIC, tek etkinlik grubunun devlet destekli bir organizasyon olabileceğine dair orta güvenle değerlendiriyor."
Güvenlik araştırmacıları güvenlik açıklarının teknik detaylarını özel tutuyor ve sadece az sayıda tehdit aktörü bunlardan yararlanıyor gibi görünüyor.
Bu nedenle, diğer araştırmacılar ve tehdit aktörleri, ister bir ağı savunmak isterse hacklemek için kendi faaliyetlerinde kullanılacak güvenlik açıklarının ilk halka açıklanmasını bekliyorlar.
Fırtınadan önce bu durgunluktan yararlanmak için, bir dolandırıcı GitHub depoları oluşturmaya başladı ve burada CVE-2022-41040 ve CVE-2022-41082 güvenlik açıkları için sahte kavram kanıtı istismarları satmaya çalıştıkları.
Huntress Lab'dan John Hammond, bu dolandırıcıları takip ediyor ve sahte istismarları satmaya çalışan beş hesap buluyor. Bu hesaplar 'JML4da', 'Timwallbey', 'Liu Zhao Khin (0Daylabin)', 'R007er' ve 'Spher0x' isimleri altındaydı.
Paulo Pacheco tarafından bulunan bir başka aldatmaca hesabı, yeni değişim güvenlik açıklarını ve mevcut hafifletmeleri belgeleyen tanınmış bir güvenlik araştırmacısı/profesyonel olan Kevin Beaumont'u (aka Gosshthedog) taklit etti.
Depoların kendileri önemli bir şey içermez, ancak ReadMe.md, yeni güvenlik açıkları hakkında şu anda bilinenleri açıklar ve ardından sıfır gün boyunca bir POC istismarının bir kopyasını nasıl sattıklarına dair bir adımdır.
"Bu, kullanıcı tarafından ve potansiyel olarak güvenlik ekibi tarafından fark edilmeyebileceği anlamına gelir. Böyle güçlü bir araç tam olarak kamuya açık olmamalıdır, kesinlikle sadece 1 kopya vardır, böylece gerçek bir araştırmacı bunu kullanabilir: https: // satoshidisk. com/pay/xxx, "aldatmaca deposundaki metni okur.
ReadMe dosyaları, dolandırıcının yaklaşık 420,00 $ değerinde 0.01825265 bitcoin için sahte istismar satmaya çalıştığı bir satoshidisk sayfası için bir bağlantı içerir.
Bu güvenlik açıkları 400 dolardan çok değerlidir ve Zerodium, Microsoft Exchange uzaktan kod yürütme sıfır günü için en az 250.000 dolar sunar.
Bunun sadece bir aldatmaca olduğunu söylemeye gerek yok ve herhangi bir bitcoin göndermek muhtemelen hiçbir şey almanıza neden olmayacak.
Ayrıca, halihazırda mevcut olan tüm bilgilerle, hatalar için bir istismar bulmak muhtemelen çok zor olmayacaktır, özellikle de ilgilenilen organizasyonları ihlal etme teşviki olan devlet destekli bilgisayar korsanları gibi daha gelişmiş tehdit aktörleri için.
Microsoft Exchange Server Zero-Day Hexation Bypassed
Yeni Microsoft Exchange Zero-Days aktif olarak saldırılarda sömürüldü
Microsoft, yeni değişim sıfır günlerinin saldırılarda kullanıldığını doğrular
CISA: Bilgisayar korsanları saldırılarda kritik Bitbucket Sunucu Kusurundan yararlanıyor
Yeni saldırı artışını hedefleyen eleştirel magento güvenlik açığı
Kaynak: Bleeping Computer