Latin Amerika'da hükümet ve finans kurumlarını hedef alan koordineli bir siber saldırı, saldırganların bir hazırlık sunucusunu internete açık bırakmasıyla ortaya çıktı. CloudSEK'in analizine göre, 'Operation Escaneo' adı verilen operasyon kapsamında Meksika'daki kritik altyapılar hedef alınırken, Ekvador ve Portekiz'de de daha az yoğunlukta faaliyet tespit edildi. Saldırılar vergi daireleri, kamu hizmetleri, ulaşım, telekomünikasyon ve bankaları kapsıyor.
Saldırganlar, ağ çevre birimlerindeki güvenlik açıklarını kullanarak sistemlere sızdı. Özellikle Fortinet FortiOS SSL-VPN (CVE-2022-42475, CVE-2024-21762) ve Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2025-0282) açıkları istismar edildi. Ayrıca Apache Tomcat GhostCat, EternalBlue, Zerologon ve Log4Shell gibi bilinen açıklar da kullanıldı. Saldırganlar, özel olarak geliştirdikleri 'Kimera' adlı tarama motoruyla yüksek hızda hedef tespiti yaparak doğrudan sızma aşamasına geçtiler.
Erişimi sürdürmek için Neo-reGeorg web shell'leri, Chisel ters tüneli ve ele geçirilmiş bir Cisco yönlendirici üzerinden GRE tüneli kullanan saldırganlar, ağ içinde SAP ve Oracle sistemlerine ulaşarak büyük miktarda hassas veri çaldı. Çalınan veriler arasında bir ulaşım firmasına ait 1.3 milyondan fazla kişisel kayıt, 407 MB büyüklüğünde Active Directory haritası, SSL özel anahtarları, SAP servis hesabı hash'leri ve tarayıcıda saklanan şifreler yer alıyor.
Nasıl Önlem Alınmalı?
CloudSEK, saldırıyı orta düzeyde güvenle 'Mexican Mafia' veya 'Pancho Villa' olarak bilinen bir gruba atfediyor. Bu grup daha önce Meksika hükümeti, yargı ve enerji hedeflerine yönelik saldırılar düzenlemişti. Araştırmacılar, Latin Amerika kuruluşlarını öncelikle Fortinet ve Ivanti açıklarını kapatmaya çağırırken, GRE tünelleri, Chisel trafiği ve SAP/Oracle üzerinden gelen beklenmedik komutlar gibi operasyonun sessiz belirtilerine karşı dikkatli olunması uyarısında bulunuyor.