SecureWorks Siber Güvenlik Araştırmacıları 2022’nin başlarında gerçekleşen fidye yazılımı ve veri hırsızlığı içeren bir dizi siber saldırıyı detaylandırdı. Bunlar, Cobalt Mirage olarak adlandırdıkları bir grup İranlı bilgisayar korsanı tarafından gerçekleştirildi – ayrıca APT35, Charming Kitten olarak da bilinir, fosforlu ve TA453.
Bu saldırılar arasında, Mart 2022’de bir ABD hükümet ağını hedef alan ve SecureWorks araştırmacılarının özelliklerinden dolayı Cobalt Mirage’a atfettiği bir saldırı yer alıyor.
Bunlar, Fast Reverse Proxy (FRPC) istemcisini dağıtmak ve savunmasız sistemlere uzaktan erişime izin vermek için ProxyShell güvenlik açıklarından yararlanmayı içerir.
Bu saldırıda ilk uzlaşma yolu bilinmemekle birlikte, araştırmacılar, bir yamanın bulunmasına rağmen saldırganların yama uygulanmamış Log4j güvenlik açıklarından nasıl yararlandığını belirtiyor. Bu ilk madenciliğin Ocak 2022 gibi erken bir tarihte gerçekleşmiş olabileceğine dair kanıtlar var.
Dört günde bir saldırı
İzinsiz giriş etkinliğinin çoğu, Mart ayında dört günlük bir süre boyunca gerçekleşti. Öncelikli hedef ağı taramak ve veri çalmak olduğundan araştırmacılar bunun tuhaf olduğunu çünkü bu süre zarfında tespit edilen diğer saldırılar gibi hedeflerin İran için stratejik veya politik bir değeri olmadığını belirtiyorlar.
20 Mart saldırısı tespit edilip sonlandırıldıktan sonra, başka kötü niyetli faaliyet gözlenmedi.
Araştırmacılar, bu saldırının ve diğerlerinin birincil motivasyonunun finansal kazanç olduğunu öne sürüyorlar. Ancak saldırganların bundan nasıl yararlanmaya çalıştıkları tam olarak belli değil.
Birimin araştırmacıları, “Bilgisayar korsanları çok çeşitli hedeflere ilk erişim sağlamada başarılı gibi görünse de, bu erişimi finansal kazanç veya istihbarat toplamak için kullanma yetenekleri sınırlı görünüyor” diye yazdı. SecureWorks Tehdit Kontrolü (CTU) içinde bir blog yazısı.
Saldırganlar, ağda gezinmek için ProxyShell ve Microsoft Exchange güvenlik açıklarını kullandı
Olayı araştıran SecureWorks araştırmacılarına göre, saldırganlar bir BitLocker fidye yazılımı saldırısı başlatmadan önce ağda dolaşmak ve hesaplara uzaktan erişmek için ProxyShell ve Microsoft Exchange güvenlik açıklarını kullandılar.
Alışılmadık bir şekilde, fidye notu bir ağ yazıcısına gönderildi ve bir e-posta adresi ve iletişim bilgilerinin ayrıntılarını içeren bir kağıda yazdırıldı. Fidye yazılımı fidye notları genellikle ekranlarda veya sunucularda bırakılır.
“Bilgisayar korsanları, yerel bir yazıcıya fidye notu göndermek gibi alışılmadık bir taktikle saldırıyı tamamladı. Not, şifre çözme ve kurtarmayı tartışmak için bir iletişim e-posta adresi ve Telegram hesabı içerir. Güvenlik araştırmacıları, bu yaklaşım, kurbanları verilerini kilitlemek için kullanılan şifreleme anahtarlarıyla eşleştirmek için manuel işlemlere dayanan küçük bir operasyon önermektedir.
Saldırganlar, kritik yama uygulanmamış siber güvenlik açıklarından yararlanarak ağlara erişim elde edebildi. Ağları siber saldırılardan korumak için, olası izinsiz girişlerin bilinen güvenlik açıklarından yararlanmasını önlemek için güvenlik yamalarının mümkün olduğunca çabuk uygulanması önerilir.
Araştırmacılar ayrıca, çok faktörlü kimlik doğrulamanın uygulanmasını ve ağdaki saldırganların varlığını gösterebilecek dosya paylaşım araçlarının ve hizmetlerinin yetkisiz veya şüpheli kullanımının izlenmesini tavsiye ediyor.
Kaynak : ZDNet.com