İçeriğe geç
Ravington
Akışa dön
Teknoloji

Çinli Casuslardan Üniversitelere Roundcube Siber Saldırısı: Hedef Fizik ve Mühendislik

The Register
WhatsApp

Proofpoint güvenlik araştırmacılarının ortaya çıkardığı yeni bir siber casusluk kampanyasına göre, Çin bağlantılı olduğundan şüphelenilen hackerlar Mayıs ayından bu yana ABD ve Kanada'daki büyük üniversitelere sızıyor. Saldırganlar, üniversitelerin kullandığı Roundcube e-posta sunucularındaki güvenlik açıklarını istismar ederek sistemlere erişim sağlıyor. Bu saldırıların temel hedefi, fizik, mühendislik, astrofizik ve parçacık fiziği bölümlerindeki yöneticiler ile profesörler. Bu akademik alanların, Pekin'in istihbarat toplama hedefleri doğrultusunda özel olarak seçildiği ve devlet destekli siber gruplar tarafından sıkça hedef alındığı belirtiliyor. Araştırmacılar, doğrudan gözlemledikleri 10'dan az üniversitenin saldırıya uğradığını, ancak toplam hedef sayısının düzinelerce üniversiteyi kapsayabileceğini tahmin ettiklerini ifade ediyorlar.

Saldırı zinciri, kurban kurumların çalışanlarına gönderilen, üniversite pazarlama mesajı gibi görünen genel ve aldatıcı oltalama (phishing) e-postalarıyla başlıyor. Saldırganlar, gerçek kullanıcıların ele geçirilmiş hesapları veya sahtelemeye açık alan adları üzerinden bu e-postaları göndererek maillerin güvenlik duvarlarını aşmasını sağlıyor. Kullanıcının e-postayı web istemcisinde açmasıyla birlikte, Roundcube'un CVE-2024-42009 adı verilen siteler arası betik çalıştırma (XSS) zafiyeti tetikleniyor. Bu zafiyet, kullanıcının herhangi bir bağlantıya tıklamasına gerek kalmadan, yalnızca maili açmasıyla saldırgana sunucuya erişim imkanı tanıyor. Araştırmacılar, bu durumların hedef birimlerin önceden belirlenmiş ve kasıtlı olarak seçildiğini, çünkü tüm bu bölümlerin Roundcube'ün savunmasız sürümlerini çalıştırdığını ortaya koyduğunu belirtiyor.

İlk erişim sağlandıktan sonra saldırı, quite sofistike bir very stealing (veri çalma) mekanizmasıyla devam ediyor. Mailin açılmasıyla birlikte çalışan JavaScript yükleyici, IceCube adı verilen güçlü bir kötü amaçlı yazılımı hedef bilgisayara indiriyor. IceCube, Roundcube'un güvenlik sınırlarını aşarak tarayıcının tüm belge nesne modeline (DOM) ve kullanıcının oturum bilgilerine erişiyor. Bu aşamada kötü amaçlı yazılım; kullanıcı adları, parolalar, oturum belirteçleri ve çerezler gibi kritik kimlik doğrulama verilerini çalıyor. Ayrıca tarayıcı dili, ekran boyutu ve form alanları gibi çevresel bilgi toplayarak keşif faaliyetleri yürütüyor ve bu verileri HTTP POST yöntemiyle saldırganın komuta kontrol sunucularına iletiyor.

Saldırının en kritik aşaması ise çalınan oturum verilerinin kullanılarak sistemde kalıcı bir arka kapı oluşturulmasıyla gerçekleşiyor. IceCube kötü amaçlı yazılımı, ele geçirdiği CSRF tokenını kullanarak Roundcube'ta CVE-2025-49113 adı verilen ve seriye alma (deserialization) işleyişini suistimal eden başka bir açığı daha istismar ediyor. Bu yeni güvenlik açığı sayesinde saldırganlar, sunucu üzerinde uzaktan kod çalıştırmaya olanak tanıyan SquareShell adında bir webshell (arka kapı) ve VShell adında bir implant kuruyor. VShell, özellikle Çinli APT gruplarının uzaktan erişim, dosya işlemleri ve sonlandırma sonrası kontrol için kullandığı, Go programlama diliyle yazılmış bilinen bir backdoor türüdür. Proofpoint, saldırganların webshell kurulumunun başarısız olması ihtimaline karşı yedek bir erişim kanalı daha oluşturarak operasyonun kesintisiz devam etmesini sağladığını da ekliyor.

Güvenlik ekipleri, yakalanan oltalama e-postalarının başlıklarında inceledikleri sanal özel sunucu (VPS) IP adreslerinin ve kullanılan altyapının Çin yanlısı diğer siber tehdit aktörleriyle doğrudan bağlantılı olduğunu tespit etti. Ayrıca, saldırılarda kullanılan yedekleme yazılımları olan SnowLight'ın daha önce de Çinli gruplar tarafından kullanıldığı ve phishing e-postalarında Çince dil yapılarının bulunması, şüpheleri daha da güçlendiriyor. Tüm bu kanıtlar ışığında Proofpoint, UNK_MassTraction olarak adlandırdıkları bu grubun orta düzeyde operasyonel güvenlik bilincine sahip, Çin destekli bir devlet casusluk grubu olduğunu değerştiriyor. Saldırıların son olarak Haziran ayının başlarında gözlemlendiği ve büyük olasılıkla hala devam ettiği düşünülürken, araştırmacılar devlet ve sektör ortaklarıyla iş birliği yaparak tespit edilen mağdurları durumdan haberdar ediyor.

Bu haber hakkında sor

Yanıtlar yapay zekâ tarafından, yalnızca bu haberin içeriğinden üretilir.

Bu, yapay zekâ tarafından üretilen bir özettir. Haberin tamamı kaynağındadır.

Haberin tamamını kaynağında okutheregister.com

Bu olay diğer kaynaklarda · 5

ru2FRfius

İlgili haberler