LATAM Altyapısı Fortinet ve Ivanti'nin Suistimalinden Etkilendi Siber Güvenlik

LATAM Altyapısı Fortinet ve Ivanti'nin Suistimalinden Etkilendi

Latin Amerika genelinde hükümete ve mali hedeflere karşı koordineli bir kampanya, saldırganların bir hazırlık sunucusunu çevrimiçi ortamda açığa çıkar...

Latin Amerika genelinde hükümete ve mali hedeflere karşı koordineli bir kampanya, saldırganların bir hazırlık sunucusunu çevrimiçi ortamda açığa çıkardıktan sonra yaptıkları kendi hatasıyla ortaya çıktı.

CloudSEK'in yeni analizi, araştırmacıların 2026'nın başlarında grubun sunucusunda açık bir dizin bulması ve geride kalan eserlerden araç setini haritalandırmasının ardından Escaneo Operasyonu adını verdiği operasyonu ayrıntılı olarak açıkladı.

Kampanya Meksika genelinde kritik altyapıyı vurdu; Ekvador ve Portekiz'de hükümet, vergi daireleri, kamu hizmetleri, ulaşım, telekomünikasyon ve bankaları kapsayan daha az aktivite yaşandı.

Önemli Gelişmeler

CloudSEK, en az beş kurbandan gelen işaretlerin ve büyük ölçekli veri hırsızlığının doğrulandığını söyledi.

Çevreden İçeri Girmek

Giriş çoğunlukla internete bakan güvenlik cihazları aracılığıyla geldi. Grup, CVE-2022-42475 ve CVE-2024-21762 dahil olmak üzere Fortinet FortiOS SSL-VPN kusurlarına ve Ivanti Connect Secure kusurları CVE-2023-46805, CVE-2024-21887 ve CVE-2025-0282'ye yönelik açıklardan yararlanmaya devam etti ve genel kavram kanıtını (PoC) kodunu uyarlayarak sistemin çökmesini önledi. hedef.

Erişimi, Apache Tomcat'in GhostCat kusuru, Windows hataları EternalBlue, Zerologon ve Log4Shell'e yönelik istismarlarla çevre donanımının çok ötesine geçti.

Uzmanların Görüşleri

Bunların tamamı, grubun Kimera adını verdiği özel bir keşif motoru tarafından beslendi; CloudSEK, bunun hedefleri yüksek hızda tarayıp önceliklendirdiğini ve ardından onları doğrudan kullanım aşamasına aktardığını söyledi.

Meksika altyapısını hedef alan saldırılar hakkında daha fazlasını okuyun: Kritik Altyapı Siber Saldırısında Kullanılan OpenAI ve Antropik LLM'ler

Sistem Güvenliği

Tüneller, Yönlendiriciler ve Çalınan Veriler

Sonuç ve Değerlendirme

Grup, bağlantıda kalabilmek için erişimini katmanlara ayırdı. Neo-reGeorg web kabukları, web sunucularında şifrelenmiş dayanaklar sağlıyordu, Chisel ters tünelleri trafiği HTTP üzerinden taşıyordu ve güvenliği ihlal edilmiş bir Cisco yönlendiricisi, ana bilgisayar tabanlı savunmalar tarafından görülemeyen ağ düzeyinde bir kanal olan saldırganlara işaret eden bir GRE tüneli ile donatılmıştı.

Nasıl Önlem Alınmalı?

Yalnızca keski günlükleri 13 günlük bir pencerede 3.708 oturum kaydetti.

Saldırganlar, kurban ağlarının içinde komutları çalıştırmak için SAP ve Oracle sistemlerine ulaştı ve aşağıdakiler de dahil olmak üzere büyük miktarda hassas veriyi ele geçirdi:

Gelecekte Ne Bekleniyor?

Tek bir ulaşım sağlayıcısından 1,3 milyondan fazla kişisel kayıt

Bir kurbanın Active Directory'sinin 407 MB'lık haritası

Bir veritabanı sunucusundan canlı olarak yayınlanan SSL özel anahtarları

SAP hizmet hesabı karmaları ve tarayıcıda saklanan parolalar

Şüpheli Hacktivist Bağlantısı

CloudSEK, kampanyayı orta derecede bir güvenle, Meksika Mafyası veya Pancho Villa olarak adlandırdığı ve 2024 yılını Meksika hükümetine, yargı ve enerji hedeflerine yönelik ihlalleri iddia ederek geçiren ve bazen hackleri protesto olarak gösteren bir gruba bağladı.

Teknik Analiz

Firma, grubun geçmiş iddialarından bazılarının adı geçen kuruluşlar tarafından tartışıldığını belirterek bağlantıyı hedge etti.

Bağlantı ne olursa olsun CloudSEK, Latin Amerikalı kuruluşlara öncelikle çevre cihazlarına yama yapmaları, Fortinet ve Ivanti'nin kusurlarını tespit etmeleri ve operasyonun daha sessiz konuşmalarını izlemeleri yönünde çağrıda bulundu.

Bunlar arasında harici adreslere ulaşan GRE tünelleri, Chisel'in HTTP üzerinden TCP trafiği ve SAP ve Oracle üzerinden çalışan beklenmedik komutlar yer alıyor.

Paylaş: