Kaydol

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza kaydolun.

Oturum aç

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza giriş yapın.

Şifremi hatırlamıyorum

Şifreni mi unuttun? Lütfen e-mail adresinizi giriniz. Bir bağlantı alacaksınız ve e-posta yoluyla yeni bir şifre oluşturacaksınız.

3 ve kadim dostu 1 olan sj'yi rakamla giriniz. ( 31 )

Üzgünüz, Flood yazma yetkiniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Please briefly explain why you feel this user should be reported.

IKEA e-posta sistemleri devam eden siber saldırının vurduğu

IKEA e-posta sistemleri devam eden siber saldırının vurduğu

IKEA, tehdit aktörlerinin çalıntı yanıt zinciri e-postalarını kullanarak dahili kimlik avı saldırılarında çalışanları hedef aldığı devam eden bir siber saldırıyla mücadele ediyor.

Yanıt zinciri e-posta saldırısı, tehdit aktörlerinin meşru kurumsal e-postaları çalması ve ardından alıcıların cihazlarına kötü amaçlı yazılım yükleyen kötü amaçlı belgelere bağlantılar vererek yanıtlamasıdır.

Yanıt zinciri e-postaları bir şirketten gelen meşru e-postalar olduğundan ve genellikle güvenliği ihlal edilmiş e-posta hesaplarından ve dahili sunuculardan gönderildiğinden, alıcıların e-postaya güveneceği ve kötü amaçlı belgeleri açma olasılığı daha yüksek olacaktır.

Ikea devam eden bir saldırı ile ilgileniyor

BleepingComputer tarafından görülen dahili e-postalarda IKEA, çalışanları şirketi, tedarikçilerini ve iş ortaklarını hedef alan devam eden bir yanıt zinciri kimlik avı siber saldırısı konusunda uyarıyor.

“Inter IKEA posta kutularını hedef alan devam eden bir siber saldırı var. Diğer IKEA kuruluşları, tedarikçileri ve iş ortakları aynı saldırıyla tehlikeye girer ve Inter IKEA’daki kişilere kötü amaçlı e-postaları daha da yaymaktadır.” dedi.

“Bu, saldırının birlikte çalıştığınız birinden, herhangi bir harici kuruluştan e-posta yoluyla ve zaten devam eden konuşmalara yanıt olarak gelebileceği anlamına gelir. Bu nedenle, sizden ekstra dikkatli olmanızı istediğimiz tespit etmek zordur.”

IKEA BT ekipleri, yanıt zinciri e-postalarının sonunda yedi haneli bağlantılar içerdiği ve aşağıda gösterildiği gibi örnek bir e-posta paylaştığı konusunda çalışanları uyarır. Buna ek olarak, çalışanlara e-postaları kimin gönderdiğine bakılmaksızın açmamaları ve derhal BT departmanına bildirmeleri söylenir.

Alıcılara ayrıca, e-postaları gönderene e-postaları bildirmesi için Microsoft Teams sohbeti aracılığıyla söylemeleri söylenir.

IKEA çalışanlarına gönderilen örnek kimlik avı e-postası
IKEA çalışanlarına gönderilen örnek kimlik avı e-postası

Tehdit aktörleri son zamanlarda başladı iç Microsoft Exchange sunucularının güvenliğini tehlikeye at kimlik avı saldırıları gerçekleştirmek için ProxyShell ve ProxyLogin güvenlik açıklarını kullanma.

Bir sunucuya eriştikten sonra, çalınan şirket e-postalarını kullanan çalışanlara karşı yanıt zinciri saldırıları gerçekleştirmek için dahili Microsoft Exchange sunucularını kullanırlar.

E-postalar dahili güvenliği ihlal edilmiş sunuculardan ve mevcut e-posta zincirlerinden gönderildiğinden, e-postaların kötü amaçlı olmadığına dair daha yüksek bir güven düzeyi vardır.

IKEA saldırıyla ilgili e-postalarımıza yanıt vermemiş ve dahili sunucuların ele geçirilip geçirilmediğini çalışanlara açıklamamış olsa da, benzer bir saldırıdan muzdarip oldukları görülmektedir.

Saldırı Emotet veya Qbot truva at yaymak için kullanılan

Yukarıdaki redakte edilmiş kimlik avı e-postasında paylaşılan URL’lerden BleepingComputer, IKEA’yı hedef alan saldırıyı tespit edebildi.

Bu URL’leri ziyaret ederken, tarayıcı kötü amaçlı bir Excel belgesi içeren ‘grafikler.zip’ adlı bir karşıdan yüklemeye yönlendirilir. Bu ek, alıcılara aşağıda gösterildiği gibi düzgün bir şekilde görüntülemek için ‘İçeriği Etkinleştir’ veya ‘Düzenlemeyi Etkinleştir’ düğmelerini tıklatmasını söyler.

Kimlik avı kampanyasında kullanılan Excel eki
Kimlik avı kampanyasında kullanılan Excel eki

Bu düğmeler tıklatıldıktan sonra, uzak bir siteden ‘besta.ocx’, ‘bestb.ocx’ ve ‘bestc.ocx’ adlı dosyaları indirip C:Datop klasörüne kaydeden kötü amaçlı makrolar yürütülür.

Bu OCX dosyaları DLL olarak yeniden adlandırılır ve kötü amaçlı yazılım yükünü yüklemek için regsvr32.exe komutu kullanılarak yürütülür.

Bu yöntemi kullanan kampanyalar görülmüştür Qbot truva atını (qakbot ve Quakbot) ve muhtemelen Emotet’i bir VirusTotal gönderimi BleepingComputer tarafından bulundu.

Qbot ve Emotet truva atları, hem daha fazla ağ uzlaşmasına hem de nihayetinde ihlal edilmiş bir ağda fidye yazılımı dağıtımına yol açar.

Bu enfeksiyonların ciddiyeti ve Microsoft Exchange sunucularının olası uzlaşması nedeniyle IKEA, bu güvenlik olayını potansiyel olarak çok daha yıkıcı bir saldırıya yol açabilecek önemli bir siber saldırı olarak ele alıyor.

Benzer Yazılar

Yorum eklemek için giriş yapmalısınız.