Türk Hackerların RE#TURGENCE Saldırı Kampanyası ~ MSSQL Server’larına MIMIC Ransomware Tehdidi
Securonix Threat Labs tarafından geçtiğimiz günlerde yapılan araştırmalar üzerine finansal amaçlı Türk tehdit aktörleri, MSSQL sunucularını zayıf güvenlik nedeniyle hedef alıyor. Ana amaçları Ocak 2023’de ilk ortaya çıkan ve giderek popülerleşen MIMIC fidye yazılımı yüklerini dağıtmak olan saldırı kampanyasında başrol saldırganların ABD, AB ve LATAM (Latin Amerika) ülkelerindeki Microsoft SQL (MSSQL) veritabanı sunucularına sızdıkları keşfedildi.
Türkiye kökenli aktörlerle bağlantılı olan kampanya, siber güvenlik firması tarafından RE#TURGENCE olarak kodlandı.
Araştırmacılar, The Hacker News’ e paylaştıkları bir teknik raporda “Analiz edilen tehdit kampanyası, güvenliği ihlal edilmiş ana bilgisayara ‘erişim’ satışı veya fidye yazılımı yüklerinin nihai teslimi olmak üzere iki yoldan biriyle sona eriyor gibi görünüyor.“ ifadelerinde bulundu.
Securonix, AnyDesk’in pano paylaşım özelliğinin etkinleştirilmesi nedeniyle tehdit aktörleri tarafından pano etkinliğini izlemesine izin veren bir operasyonel güvenlik (OPSEC) hatasını ortaya çıkardığını söyledi. Bunun sayesinde de saldırganların Türk kökenli olduklarını, Steam’deki bir profilde ve SpyHack adlı bir Türk formuna karşılık gelen, çevrimiçi takma adları “atseverse” olan bilgileri elde ettiklerini belirttiler.
Securonix, saldırı ilerledikçe saldırganları ve kullandıkları sistemi kendi RMM yazılımları aracılığıyla yakından izleyebildiklerini ifade etti. Ayrıca kötü niyetli operasyonların bir parçası olarak gözlemlenen bazı ilginç bilgileri de paylaştılar.
Detaylı inceleme için buraya tıklayın.
2024 yılının ilk ayında gerçekleşen bu olaylar üzerine yetkililer tedbir alınması ve kritik sunucuların doğrudan internete açıkta bırakılmaması gerektiğini vurguluyorlar. Bu kaynaklara erişim için VPN gibi çok daha güvenli bir altyapı üzerinden sağlanmasını önerdiklerini de belirtiyorlar.
VPN hakkında bilgilenmek için sayfamızda bulunan makalemizi buradan inceleyebilirsiniz.