Finansal olarak motive olmuş bir tehdit oyuncusu telekomünikasyon hizmet sağlayıcılarını ve iş süreci dış kaynak kullanımı firmalarını hacklemek ve ihlal tespit edildiğinde uygulanan savunma azaltmalarını aktif olarak tersine çevirmektir.
Kampanya, Saldırıların Haziran 2022'de başladığını ve hala devam etmekte olan Crowdstrike tarafından tespit edildi ve güvenlik araştırmacıları beş farklı müdahaleyi belirleyebildi.
Saldırılar, erişimin sürdürülmesinde, hafifletmeleri tersine çevirme, kaçınma tespiti ve engellenirse diğer geçerli hedeflere dönme konusunda kalıcılık gösteren 'dağınık örümcek' olarak izlenen hackerlara düşük güvenle ilişkilendirildi.
Kampanyanın nihai hedefi telekom ağ sistemlerini ihlal etmek, abone bilgilerini erişim ve SIM Swapping gibi işlemleri yürütmektir.
Tehdit aktörleri, çeşitli sosyal mühendislik taktiklerini kullanarak kurumsal ağlara ilk erişim elde eder.
Bu taktikler, çalışanları çağırmak ve kimlik bilgilerini hasat etmek için BT personelini taklit etmek veya hedefleri şirketin logosunu içeren özel hazırlanmış kimlik avı sitelerine yönlendirmek için telgraf ve SMS mesajlarını kullanmayı içerir.
MFA hedef hesapları koruduysa, saldırganlar ya itme bildirimi MFA yorgunluk taktikleri kullandılar ya da kurbanlardan kod almak için sosyal mühendislik yaptılar.
Bir durumda, rakipler Forgerock AM sunucusundaki bir kusur olan CVE-2021-35464'ü bir AWS örneğinde kodu çalıştırmak ve ayrıcalıklarını yükseltmek için kullandı.
CrowdStrike, "Apache Tomcat kullanıcısından ayrıcalıkları üstlenmek veya yükseltmek için AWS örneği rollerini kullanan düşman, tehlikeye atılan bir AWS jetonu kullanarak bir örnek rolünün izinlerini talep eder ve üstlenir."
Bilgisayar korsanları bir sisteme eriştikten sonra, güvenilir kullanıcı hesabını kullanarak güvenilir MFA (çok faktörlü kimlik doğrulama) cihazları listesine kendi cihazlarını eklemeye çalışırlar.
CrowdStrike, bilgisayar korsanlarının kampanyalarında aşağıdaki yardımcı programları ve uzaktan izleme ve yönetim (RMM) araçlarını kullandığını fark etti:
Yukarıdakilerin çoğu, kurumsal ağlarda yaygın olarak bulunan meşru yazılımdır ve bu nedenle güvenlik araçları üzerinde uyarılar oluşturma olasılığı düşüktür.
Crowdstrike tarafından gözlemlenen müdahalelerde, rakipler, tespit edildikten sonra bile ihlal edilen bir ağa erişimi sürdürme girişimlerinde acımasızdı.
CrowdStrike, "Birden fazla soruşturmada, Crowdstrike'ın daha da aktif hale geldiğini gözlemledi, ek kalıcılık mekanizmaları, yani hafifletme önlemleri yavaş yavaş uygulanırsa, VPN erişimi ve/veya birden fazla RMM aracı oluşturdu."
Diyerek şöyle devam etti: "Ve birçok durumda, düşman, daha önce kurban kuruluşu tarafından devre dışı bırakılan hesapları yeniden etkinleştirerek bazı hafifletme önlemlerini geri döndürdü."
Crowdstrike tarafından gözlemlenen tüm müdahalelerde, rakipler mağdur kuruluşun Google çalışma alanı ortamına erişmek için çeşitli VPN'ler ve ISS'ler kullandılar.
Yanal hareket etmek için, tehdit aktörleri çeşitli keşif bilgileri çıkardı, ihlal edilen kiracılardan indirilen kullanıcı listeleri, WMI istismar etti ve SSH tünelleme ve alan çoğaltma gerçekleştirdi.
Crowdstrike, raporun altındaki bu etkinlik için kapsamlı bir uzlaşma göstergeleri (IOC'ler) listesini paylaştı, bu da savunmacıların tehdit oyuncusu farklı müdahalelerde aynı araçları ve IP adreslerini kullandıkları için hayati önem taşıyor.
MFA yorgunluk saldırıları kuruluşunuzu riske atıyor
LinkedIn'in Yeni Güvenlik Özellikleri Sahte Profiller, Tehdit Oyuncuları ile Mücadele
Uber Hack'in bize Gezinme Gezinme Hakkında Ne Öğretebileceği Neler
Geri dönme kimlik avı saldırıları sosyal mühendislik taktiklerini geliştiriyor
Bilgisayar korsanları, ağları ihlal etmek için yeni, sahte kripto uygulaması kullanıyor, kripto para birimini çalmak
Kaynak: Bleeping Computer