Tehdit araştırmacıları tarafından “Muddled Libra” olarak adlandırılan yeni, alışılmadık derecede inatçı bir tehdit grubu, büyük dış kaynak firmalarını, parçalama ile başlayan ve veri hırsızlığı ile biten çok katmanlı, kalıcı saldırılarla hedefliyor. Grup ayrıca kurbanların müşterilerine yönelik saldırılarda ele geçirdiği altyapıyı da kullanıyor.
Palo Alto Networks Unit 42’den araştırmacılar, tehdit grubunun 2022’nin ortalarından 2023’ün başlarına kadar birbiriyle bağlantılı yarım düzineden fazla olayla ilişkilendirildiğini ve saldırılarına ilk giriş olarak daha önce bildirilen Oktapus kimlik avı kitini kullandığını söyledi. rapor bugün yayınlandı
Oradan, “kurumsal bilgi teknolojisi konusunda derin bir bilgiye” sahip olan grup, hedef kuruluşun sisteminde, tipik olarak verilerin sızdırılması ve bu verilerin ve güvenliği ihlal edilmiş bilgilerin kullanılması olan hedeflerine ulaşana kadar yıkıcı olmayan kararlılığını sürdürür. Unit 42 araştırmacıları Kristopher Russo, Austin Dever ve Amer Elsad, sistemin daha fazla saldırı gerçekleştireceğini söyledi.
“Muddled Libra, bir kurbanın alt müşterilerini çalıntı verileri kullanarak hedefleme eğilimi gösterdi ve izin verilirse, çalınan veri setlerini yenilemek için kuyuya tekrar tekrar dönecekler” diye yazdılar. “Bu çalınan verileri kullanan tehdit aktörü, ilk olay müdahalesinden sonra bile önceki kurbanlara geri dönme yeteneğine sahip.”
Gerçekten de, grup sadece hedeflere fırsatçı erişimden yararlanmakla kalmıyor, aynı zamanda ihlaller için açık hedeflere sahip, bir kuruluşun müşterileri hakkında bilgi arıyor ve sonra bu ortamlara dönmek için kullanılabilecek bilgileri çalıyor, dedi araştırmacılar.
Karmakarışık Terazi: Hedefli ve İnatçı Bir Siber Tehdit
Araştırmacılar, grubun yüksek değerli kripto para birimi kurumlarına ve bireylere hizmet veren büyük dış kaynak firmalarını hedef aldığını gözlemlediler, ancak Muddled Libra’nın yazılım otomasyonu, iş süreci dış kaynak kullanımı, telekomünikasyon ve teknoloji endüstrilerindeki kuruluşlar için de önemli bir tehdit oluşturduğunu eklediler.
Araştırmacılar, kötü amaçlı yazılım veya taktikler açısından “masaya yeni bir şey” getirmese de, grubun birkaç önemli nedenden dolayı özellikle tehlikeli olduğunu söyledi. Tehdit aktörleri, saldırı tekniklerinde hem metodik hem de esnektir, başka bir vektöre dönebilir ve hatta tercih ettikleri saldırı yolunu sağlamak için bir ortamı değiştirebilir.
Araştırmacılar, Muddled Libra’nın ayrıca bir dizi güvenlik disiplininde uzmanlık gösterdiğini ve kuruluşların çoğu standart tarafından yeterince güvence altına aldığı ortamlarda bile “yıkıcı” saldırı zincirlerini hızla geliştirip uygulayabildiğini belirtti.
Araştırmacılar, ayrıca, grubun keşiften sonra bile alışılmadık derecede inatçı olduğunu ve tekrar tekrar “modern olay müdahale (IR) çerçevesine ilişkin güçlü bir anlayış” sergilediğini ve bu da ağdan atılma girişimiyle karşı karşıya kaldıklarında bile devam etmelerini sağladığını yazdı. “Bu tehdit grubunu bir kez kurduktan sonra ortadan kaldırmak zordur” dediler.
Oktapus Kimlik Avı, Tipik Bir Siber Saldırı Vektörü
Grubun saldırıları tipik olarak hedeflerin profillerini oluşturmak için keşifle başlar, ardından benzer kimlik avı etki alanları oluşturmak ve Oktapus kimlik avı kitinin konuşlandırılması gibi kaynakların geliştirilmesi ile başlar.
Bu kaynaklar sonunda, doğrudan hedeflenen çalışanların cep telefonlarına cezbedici bir mesaj gönderen bir ezme saldırısına yol açar. Mesaj, hesap bilgilerinin güncellenmesi veya bir kurumsal uygulamada yeniden kimlik doğrulaması yapılması gerektiğini iddia ediyor ve tanıdık bir kurumsal oturum açma sayfasını taklit eden bir bağlantı içeriyor.
Saldırganlardan biri daha sonra, bir kod isteyerek veya sonsuz bir MFA istemleri dizisi oluşturarak, ilk erişim için kullanılacak kimlik bilgilerini yakalayarak ve çok faktörlü kimlik doğrulamada (MFA) gezinerek ağa erişim elde etmek için çalışanla sohbet ederken sosyal mühendislik kullanır. MFA bombalaması olarak bilinen bir taktikle, kullanıcı yorgunluktan veya hayal kırıklığından birini kabul edene kadar.
Bir ağ dayanağı oluşturduktan sonra Muddled Libra, Mimikatz, ProcDump, DCSync, Raccoon Stealer ve LAPSToolkit gibi standart kimlik bilgisi çalma araçlarını kullanarak erişimi yükseltmek için hızla hareket eder. Araştırmacılar, grubun yükseltilmiş kimlik bilgilerini hızlı bir şekilde bulamazsa Impacket, MIT Kerberos Bilet Yöneticisi ve NTLM Kodlayıcı/Kod Çözücüye yöneldiğini söyledi.
Muddled Libra ayrıca, bir ortama erişim sağladığında, kuruluşlar içinde yasal olarak kullanılan ve bu nedenle şüphe uyandırmayacak olan uzaktan izleme ve yönetim (RMM) araçlarının en az yarım düzine ücretsiz veya demo sürümünü dağıtır. Araştırmacılar, bu, faaliyetleri keşfedilse bile çevreye bir arka kapı tutabilmelerini sağlıyor.
Grup ayrıca antivirüs ve ana bilgisayar tabanlı güvenlik duvarlarını devre dışı bırakmak; güvenlik duvarı profillerini silmeye çalışmak; savunma oyuncusu dışlamaları oluşturmak; ve ağda kalıcılığı sağlamak için EDR ve diğer izleme ürünlerinin devre dışı bırakılması veya kaldırılması.
Son olarak, Muddled Libra, sonunda birincil hedefi gibi görünen verilere erişmeye ve verileri sızdırmaya devam ediyor, çünkü araştırmacılar grubun uzaktan kod yürütmeye giriştiğini nadiren gördüler, dediler. Verileri dışarı sızdırmak için grup, komuta ve kontrol (C2) için ters proxy kabukları veya güvenli kabuk (SSH) tünelleri kurmaya çalıştı veya ortak dosya aktarım siteleri veya Cyberduck dosya aktarım aracısını kullandığını söylediler. Araştırmacılar, bazı durumlarda grubun güvenliği ihlal edilmiş altyapıyı güvenilir bir kurumsal varlık olarak alt müşterilere yönelik devam eden saldırılara katılmak için kullandığını söyledi.
Sofistike Veri Hırsızlığına Karşı Azaltma ve Koruma
Araştırmacılar, böylesine karmaşık bir tehdit aktörüne karşı savunma yapmak için kuruluşların “en son teknoloji ile kapsamlı güvenlik hijyenini ve ayrıca dış tehditlerin ve iç olayların özenli bir şekilde izlenmesini birleştirmeleri gerektiğini” tavsiye etti.
Unit 42 araştırmacıları, bu amaçla, MFA’nın uygulanması ve mümkün olan her yerde çoklu oturum açma (SSO) dahil olmak üzere bir dizi tavsiyede bulundular ve Muddled Libra’nın en çok, çalışanları grubun MFA’yı atlamasına yardımcı olmaya ikna etmesi gerektiğinde elde ettiğini belirtti. “Bunu yapamadıklarında, başka hedeflere doğru hareket ediyor gibi göründüler” dediler.
Grup hem yardım masası hem de diğer çalışanlar telefon ve SMS yoluyla sosyal mühendislik konusunda son derece yetenekli olduğundan, kuruluşlar ayrıca kapsamlı kullanıcı farkındalığı eğitimi uygulamalıdır. Araştırmacılar, eğitimin çalışanların e-posta tabanlı olmayan şüpheli sosyal yardımları belirlemesine ve böylece saldırıları azaltmasına yardımcı olabileceğini söyledi.
Araştırmacılar, kimlik bilgilerinin hijyeninin de güncel tutulması gerektiğini ve kuruluşların çalışanlara yalnızca gerektiği zaman ve gerektiği kadar erişim izni vermesi gerektiğini söyledi. Savunucuların ayrıca, ideal olarak App-ID tarafından yalnızca güvenlik duvarı düzeyinde izin verilmesi gereken anonimleştirme hizmetlerinin ağa bağlantısını sınırlaması gerektiğini söylediler.
Ayrıca araştırmacılar, kuruluşların sağlam ağ güvenliği ve uç nokta güvenliği sağlamaları gerektiğini tavsiye etti. İkincisinin, gelişmiş makine öğrenimi ve davranışsal analitiği kullanarak kötü amaçlı kodu tanımlayabilen ve tehditleri tanımlandıkları anda gerçek zamanlı olarak engelleyebilen genişletilmiş bir algılama ve yanıt (XDR) çözümü olması gerektiğini söylediler.
Son olarak, bir kuruluşun ihlali durumunda, yöneticilerin saldırganın “modern IR oyun kitabını bildiğini” varsayması ve bant dışı yanıt mekanizmaları kurmayı düşünmesi gerektiğini söylediler.