ABD, SolarWinds saldırısından sonra Exchange sunucularında yer alan bir 0day ile de karşılaştı. 0day, uzun zamandır bulunan ve kullanılan zafiyetin keşfedilmesi anlamına geliyor. Çinli hacker grubunun bu 0day’i kullanarak binlerce e-posta sunucusuna backdoor (arka kapı) inşa ettiği düşünülüyor.
Grubun kullandığı zafiyetler olarak da CVE-2021-26855, CVE-2021-26857, CVE-202126858 ve CVE-2021-27065 bulunuyor. Bu zafiyetlerin her biri Microsoft Exchange’in zafiyetlerini isimlendiriyor.
Microsoft, grubun ABD’deki kamu kurumlarını kendine hedef belirlediğini duyurdu. Özellikle savunma sanayii, araştırma, hukuk ve yüksek öğretim kurumlarının grubun hedefinde olduğu belirtildi. Grubun saldırılar düzenlemek için ABD’li firmalardan VPS (Özel Sanal Sunucu) kiraladığı kaydedildi.
Zdnet tarafından yayınlanan haberde, grubun kullandığı araçlara dair bilgiler paylaşıldı. Güvenlik firması Trustwave, kullanılan Chine Chopper isimli aracın bir web shell (kabuk) olarak çalıştığı kaydedildi. Ayrıca zafiyetten etkilenen sunuculara DearCry isimli ransomware’in (fidye yazılımı) yüklemesi yapıldığı belirlendi.
China Chopper’ın 10 yıldır kullanımda olduğu kaydedildi. PDF dosyaları aracılığıyla gelen web kabuğu ile hack işleminin yapıldığı belirtildi. Kabuğun küçük boyutlu dosyada taşınması onu fark edilmez hale getirdiği aktarıldı. Yazılımı APS, ASPX, PHP, JSP ve CFM gibi farklı dillerle yazıldığı kaydedildi.
Grubun ‘Sapphire Pigeon’ yani ‘Safir Güvercin’ ismini verdiği bir arka kapıyı inşa ettiği aktarıldı. Bu arka kapı sayesinde hackerlar istediği anda hedef aldığı sunucuya erişim sağlayabiliyor.
Microsoft, Exchange sunucuların etkilendiği zafiyeti en az 10 APT (Sürekli Gelişmiş Tehdit) grubunun kullandığını duyurdu. Ayrıca 82 bin civarında sunucunun da hala zafiyet için gelen güncellemeyi kurmadığı belirtiliyor.
Editör : SavunmaTR Haber Merkezi
