OilRig Kampanyası

İlgili kampanyanın 2016 yılında ilk defa tespit edildiği ve o günden bu güne orta doğu başta olmak üzere bir çok farklı hedefe operasyonlar düzenlediği tahmin edilmektedir.

İran temelli olduğu düşünülen ve APT34, Oilrig, or HelixKitten şeklinde isimlendirilen grup tarafından kullanılan zararlı yazılımlara ait kaynak kodları Dookhtegan kullanıcı adı ile telegram üzerinden ifşa edilmiştir. Kaynak kodun dışında şimdiye kadar hedef alınan kurum/kuruluşlar ve buradaki kullanıcı bilgileri, ve iran istihbarat ajansı çalışanları ve ajanlarına ait olduğu iddia edilen kişisel bilgileri de ifşa etmiştir. Kaynak kodun çok sofistike olması devlet destekli bir kampanya olduğu izlenimini vermektedir. [1]

İlgili kampanyanın 2016 yılında ilk defa tespit edildiği ve o günden bu güne orta doğu başta olmak üzere bir çok farklı hedefe operasyonlar düzenlediği tahmin edilmektedir. [2]

Saldırganlar hedefli oltalama saldırıları ile son kullanıcı makinalarını ele geçirdikten sonra bir webshell üzerinden komuta kontrol sunucularına bağlanmaktadır. Ve verileri çoğunlukla DNS tünelleme ile ilgili C2 sunucularına aktarmaktadırlar.

Saldırganlar, webshell kullanımı ile kurumların Outlook Web Access (OWA) sistemlerini istismar edebilmektedirler.

Çözüm / Öneri

Son kullanıcı makinalarındaki uygulamaların güvenlik güncellemelerinin yapılması
Sunucu ve son kullanıcı makinalarında güçlü parola kullanılması
Son kullanıcı makinalarında powershell çalışmasının engellenmesi
OWA sunucularında web shell taraması yapılması
OWA erişimlerine özel güvenlik kontrollerinin uygulanması (yurtdışından erişimin engellenmesi, çok faktörlü kimlik doğrulama kullanılması vb.)
Dışarı doğru DNS trafiklerinin engellenmesi veya izlenmesi

İşletim Sistemleri

Windows İşletim Sistemleri

Sürümler

Tüm Windows işletim sistemi sürümleri

CVE / CWE

Ek Bilgi

Güvenlik Zafiyet Bildirimleri

SolarWinds Serv-U Uzaktan Kod Çalıştırma Güvenlik Zafiyeti

21/07/2021

Microsoft Exchange Server Uzaktan Kod Çalıştırma Güvenlik Zafiyeti-34473

21/07/2021

Microsoft Exchange Server Uzaktan Kod Çalıştırma Güvenlik Zafiyeti-31206

21/07/2021

Kaseya VSA Ürünü Tedarik Zinciri Saldırısı

06/07/2021

CVE-2021-1675 PrintNightmare Zafiyeti

01/07/2021

VMware VCenter Uzaktan Kod Yürütme Güvenlik Zafiyeti

26/05/2021

Microsoft Exchange Server Uzaktan Kod Çalıştırma Güvenlik Zafiyetleri

14/04/2021

Mart 2021 Microsoft Exchange 0-Day Bildirimleri

03/03/2021

Spectre Zafiyeti Sömürüsü

03/03/2021

Masslogger Oltalama Kampanyası

19/02/2021

Solarwinds Raindrop Zararlısı

20/01/2021

Solarwinds Orion Api Kimlik Doğrulaması Atlatma Zafiyeti

28/12/2020

Solarwinds Sunburst Saldırı Kampanyası

22/12/2020

StrongPity Watering Hole

07/07/2020

Microsoft Smbv3 Compression Zafiyeti

11/03/2020

İSTANBUL

+90 216 504 53 30

+90 216 504 53 32

info@barikat.com.tr

Aydınevler Mahallesi,İsmet İnönü Cadddesi,Küçükyalı Ofis Park A Blok,No:20/1 Maltepe İstanbul

ANKARA

+90 312 235 44 41

+90 312 235 44 51

info@barikat.com.tr

Mustafa Kemal Mahallesi, Dumlupınar Bulvarı No:164, Kentpark Ofis, Kat:4 Daire:06 Çankaya, 06510 Ankara, Türkiye

AMSTERDAM

+90 216 504 53 30

+90 216 504 53 32

info@barikatbv.com

Millenium Tower Floor 29, Radarweg 29 1045 XN Amsterdam, Netherlands

ZAFİYET BÜLTENİ

Güvenlik zafiyetlerinden anlık haberdar olmak için ana sayfadaki bültenimize kayıt olabilirsiniz.

OilRig Kampanyası