Yeni SEO Zehirleme Kampanyası Kötü Amaçlı Yazılımla BT Yöneticilerini Hedef Alıyor

Varonis, saldırganların BT yöneticilerini kötü amaçlı yazılım indirmeye kandırmak için SEO zehirlenmesi kullandığını ve Azure'un HPC/AI iş yüklerini etkileyen AZNFS montaj yardımcı programındaki kritik bir kök erişim açığının yanı sıra bunu kullandığını ortaya koyuyor. Azure'u hemen güncelleyin.

Varonis'teki siber güvenlik araştırmacıları, BT yöneticilerini ve bulut altyapısını hedef alan iki ayrı ancak önemli tehdit konusunda uyarılarda bulundu. Varonis'in 2 Mayıs 2025'te yayınladığı bir blog yazısında belirttiği üzere, son iki ayda ortaya çıkan saldırganların, yöneticileri kandırarak meşru araçlar olarak gizlenmiş kötü amaçlı yazılımları indirmeleri için SEO zehirlenmesi kullanma eğilimi giderek artıyor.

Ayrıca şirketin Threat Labs ekibi, 6 Mayıs'ta önceden yüklenmiş bir Azure yardımcı programında, yetkisiz kullanıcıların bulut sistemlerine tam kök erişimi elde etmesine olanak tanıyabilecek kritik bir güvenlik açığı tespit edildiğini bildirdi .

SEO zehirleme kampanyası, siber suçluların kötü amaçlı web sitelerini yaygın BT yönetim araçları için sonuçların en üstüne yerleştirmek için arama motoru sıralamalarını manipüle etmesini içerir. Gerçek yazılım indirdiklerine inanan şüphelenmeyen yöneticiler, bunun yerine saldırganlar için sürekli erişim sağlayan SMOKEDHAM gibi arka kapılar yüklemeye yol açabilen kötü amaçlı yazılımlar yükler.

Varonis MDR Forensics ekibi üyeleri Tom Barnea ve Simon Biggs, bu tekniğin Kickidler'ın ( grabber.exe ) yeniden adlandırılmış bir versiyonu gibi izleme yazılımlarının dağıtımına yol açtığı ve saldırganların enfekte olmuş makineleri gizlice gözlemleyip kimlik bilgilerini çalmasına olanak tanıdığı vakalara dikkat çekti.

Bu ilk erişim, genellikle veri sızdırma yolunu açar; saldırganların bir terabayta yakın veriyi ağdan başarıyla aktardığı ve ardından müşterinin ESXi cihazları gibi kritik sistemleri fidye için şifrelediği bir örnekte görüldüğü gibi.

Ayrı ama aynı derecede endişe verici bir keşifte, araştırmacı Tal Peleg liderliğindeki Varonis Threat Labs, Azure Yüksek Performanslı Hesaplama (HPC) ve Yapay Zeka (AI) görüntülerine önceden yüklenmiş bir araç olan AZNFS-mount yardımcı programında kritik bir kusur tespit etti. 2.0.10'a kadar tüm sürümleri etkileyen bu güvenlik açığı, sıradan bir kullanıcının ayrıcalıklarını bir Linux makinesinde root'a yükseltmesine izin verebilir.

Veronis'in Hackread.com ile paylaştığı araştırmaya göre, kusur, yanlış izinler nedeniyle en yüksek sistem ayrıcalıklarına sahip keyfi komutları yürütmek için istismar edilebilecek olan " mount.aznfs " ikilisinde bulunuyor. Saldırganlar, belirli bir ortam değişkenini manipüle ederek, etkilenen Azure sistemlerinin tam kontrolünü etkili bir şekilde ele geçirebilir.

Varonis Threat Labs, bu güvenlik açığını Microsoft Azure'a sorumlu bir şekilde ifşa etti ve bu güvenlik açığını düşük önemde olarak sınıflandırdı. Ancak, bulut altyapısına kök erişimi elde etmenin potansiyel etkisi önemlidir, çünkü saldırganların ek depolama alanı kurmasına, kötü amaçlı yazılım yüklemesine ve bulut ortamlarında yatay olarak hareket etmesine olanak tanıyabilir. Microsoft, o zamandan beri AZNFS-mount yardımcı programının 2.0.11 sürümünde bir düzeltme yayınladı.

Yine de bu bulgular siber suçluların kritik BT altyapısını daha etkili bir şekilde hedeflemek için taktiklerini sürekli olarak geliştirdiklerini gösteriyor. SEO zehirleme kampanyası, çevrimiçi aramalardan araçlar indirirken BT profesyonelleri arasında daha iyi bir farkındalık ihtiyacını vurguluyor, hatta yüksek sıralarda görünenler bile. Azure yardımcı programı güvenlik açığı, zamanında yama yapmanın ve bulut kaynaklarının dikkatli bir şekilde yapılandırılmasının önemini vurguluyor.

Varonis, kuruluşlara bu büyüyen tehditleri azaltmak için çalışan eğitimi, uç nokta güvenliği, ağ segmentasyonu ve sıkı erişim kontrolleri dahil olmak üzere bir "Derinlemesine Savunma" stratejisi uygulamalarını tavsiye ediyor. HPC görüntüleri veya Azure Storage için NFS kullanan Azure müşterilerinin AZNFS-mount yardımcı programlarını derhal güncellemeleri önerilir.