İranlı ve devlet destekli siber tehdit aktörleri, İsrail varlıklarını hedef almak için Log4j çalıştıran, yama uygulanmamış ve güvenlik açığı bulunan sistemlerden yararlanıyor.
Siber saldırılar, ilk erişim için vektör olarak Log4Shell kusuruna karşı güvenli olmayan SysAid sunucu örneklerini kullanıyor. Siber saldırganların, hedef ortamlarını ihlal etmek için VMware uygulamalarından yararlandığı da gelen bilgiler arasında yer aldı.
Microsoft yaptığı açıklamada, ‘’Erişim kazandıktan sonra Mercury kalıcılık sağlıyor. Kimlik bilgilerini boşaltıyor ve hem özel hem de iyi bilinen bilgisayar korsanlığı araçlarını ve ayrıca saldırı için yerleşik işletim sistemi araçlarını kullanarak hedeflenen kuruluş içinde yanlamasına hareket ediyor.’’ ifadelerini kullandı. Ayrıca saldırının 23-25 Temmuz tarihleri arasında gözlemlendiği de aktarıldı.
Uzmanlar, siber saldırganlardan korunmak için web kabuklarının önemli olduğunun altını çizdi. Bu sayade aktörün keşif yapmasına, kalıcılık oluşturmasına, kimlik bilgilerini çalmasına ve yanal hareketi kolaylaştırmasına izin veren komutların engellenebileceği öne sürüldü.
ABD İç Güvenlik Bakanlığı’na bağlı olan Siber Güvenlik İnceleme Kurulu’nun, açık kaynaklı Java tabanlı günlük kaydı çerçevesindeki kritik güvenlik açığının, sömürü geliştikçe kuruluşları yıllarca rahatsız etmeye devam edecek yaygın bir zayıflık olarak kabul ettiği de belirtildi.
