Veri Sızıntısı Dalgası Sigorta ve Kamu Sektörünü Vurdu; TheFallen Aktörü Aktif

Özet

Bugünkü tehdit ortamına, sigorta ve kamu sektörlerine odaklanan yüksek hacimli iddia edilen veri sızıntısı olayları damgasını vurdu. TheFallen aktörü özellikle aktif olup, ABD merkezli finans ve sigorta kuruluşlarına yönelik birden fazla ihlal iddiasında bulunuyor. Aynı zamanda sektör raporları, kritik bir cPanel güvenlik açığının aktif olarak istismar edildiğini ve SAP ile npm ekosistemlerini hedef alan sofistike tedarik zinciri saldırılarını vurguluyor; bu durum acil yama ve bağımlılık incelemesi gerektiğine işaret ediyor.

Bugünkü Gelişmeler

Bugün en önemli sinyal, birden fazla ABD kuruluşunu ihlal ettiğini iddia eden TheFallen aktörünün yoğun faaliyeti. Bu iddia edilen olaylar arasında çok hatlı bir sigorta sağlayıcısının büyük ölçekli bir ihlali, bir finans/GYO ve ETF yatırımcı veritabanı ile lüks bir parfüm perakendecisi yer alıyor. Bu iddiaların doğrulanması halinde kapsamı, ABD'de yüksek değerli finansal ve tüketici verilerine yönelik hedefli bir kampanyaya işaret ediyor. Ayrıca, MDGhost aktörü bir İsrail sigorta firmasını ve ABD merkezli bir sigorta toplayıcısını ihlal ettiğini iddia ederek sigorta sektörünün birincil hedef olduğunu bir kez daha vurguluyor.

• TheFallen, ABD merkezli çok hatlı bir sigorta müşteri veritabanı, bir finans/GYO yatırımcı listesi, bir sanat koleksiyoncusu/bağışçı veritabanı ve lüks bir ürün perakendecisini ihlal ettiğini iddia ediyor.
• MDGhost, bir İsrail sigorta kuruluşunu ve bir ABD araba sigortası web sitesini ihlal ettiğini iddia ediyor.
• GordonFreeman, bir Venezuela telekomünikasyon sağlayıcısını ve iki Guatemala devlet kurumunu (Ulusal Kişi Kaydı ve Vergi İdaresi Müfettişliği) ihlal ettiğini iddia ediyor.
• 0xHentai ve Mr. Hanz Xploit, bir üniversite, bir bölge mahkemesi ve bir şehir ulaşım ajansı dahil olmak üzere Endonezya devlet ve eğitim kurumlarına yönelik birden fazla iddia edilen ihlalden sorumlu.

Bugünkü sektör analizi kritik bağlam sağlıyor. Güvenlik araştırmacıları, cPanel'de aktif olarak istismar edilen kritik bir kimlik doğrulama güvenlik açığı tespit etti ve desteklenen tüm sürümlerin acilen yamalanması çağrısında bulundu. Ayrı bir rapor, "mini Shai-Hulud" adlı bir kampanyaya atfedilen, SAP ile ilgili npm paketlerini hedef alan ve kimlik bilgisi çalan kötü amaçlı yazılım içeren bir tedarik zinciri saldırısı kampanyasını detaylandırıyor. Araştırmacılar ayrıca, Kuzey Kore bağlantılı aktörlerden yapay zeka ile yerleştirilmiş npm kötü amaçlı yazılımları ve sahte şirketler kullanarak uzaktan erişim truva atları (RAT'ler) dağıtan yeni bir saldırı dalgasına dikkat çekiyor. Son olarak, Checkmarx tedarik zinciri saldırısının, kötü amaçlı kodun yayınlanmasından bir hafta sonra GitHub ortamlarından veri sızdırılmasıyla sonuçlandığı doğrulandı.

Tehdit Ortamı Sinyalleri

Günün olayları birkaç eyleme dönüştürülebilir desen ortaya koyuyor. İlk olarak, Amerika Birleşik Devletleri, büyük ölçüde TheFallen'ın iddia edilen finans sektörü hedeflemesiyle en çok mağdur olan ülke konumunda. Endonezya, yerel aktörler tarafından devlet ve eğitim kurumlarına yönelik yüksek hacimli düşük karmaşıklıklı ihlallerle en çok hedef alınan ikinci ülke. DieNet (27 olay) ve Keymous Plus (15 olay) tarafından gerçekleştirilen yoğun faaliyet, bu grupların sürekli, muhtemelen otomatikleştirilmiş kampanyalar yürüttüğünü gösteriyor.

Savunma perspektifinden bakıldığında, tedarik zinciri saldırılarının (npm, SAP, Checkmarx) ve kritik bir altyapı bileşeninin (cPanel) aktif istismarının birleşmesi acil müdahale gerektiriyor. LiteLLM güvenlik açığının ifşa edilmesinden kısa süre sonra istismar edilmesi, yama yapma penceresinin daraldığını hatırlatıyor. OpenEMR tıbbi yazılımında rapor edilen 38 güvenlik açığı da sağlık teknolojisindeki kalıcı riskleri vurguluyor. Savunmacılar, cPanel'i yamalamaya, SAP ile ilgili paketler için npm bağımlılıklarını denetlemeye ve yapay zeka odaklı saldırı otomasyonuna ayak uydurmak için maruz kalma yönetimi platformlarını gözden geçirmeye öncelik vermelidir.