Microsoft, Peach Sandstorm (aka Holmium) olarak bilinen İranlı ulus devlet aktörü tarafından yürütülen küresel bir siber casusluk kampanyasının uydu, savunma ve ilaç sektörlerindeki hedefleri başarıyla hedef aldığı konusunda uyarıyor.
Bir rapora göre siber saldırı Şubat ayından bu yana aktif durumda. Microsoft Tehdit İstihbaratı’ndan blog yazısıBu da kampanyanın Şubat ve Temmuz ayları arasında binlerce ortamda kimlik doğrulaması yapmak ve veri sızdırmak için çok sayıda şifre sprey saldırısı kullandığı ve bunların hepsinin İran devletinin çıkarlarını desteklediği sonucuna varıldı.
Parola püskürtme saldırı yöntemi, bilgisayar korsanlarının kullanıcı hesaplarına ve sistemlerine yetkisiz erişim sağlamak için kullandıkları bir tür kaba kuvvet yöntemidir. Parola püskürtme, ortak parolalar kullanarak birden fazla hesaba erişmeye çalışmayı içerir ve bu da hesap kilitlenme riskini azaltır.
İran’dan Gizli Siber Casusluk Kampanyası
Bir hedef tehlikeye atıldığında, gelişmiş kalıcı tehdit (APT), keşif, ısrar ve yanal hareket gibi faaliyetler için kamuya açık ve özel araçların bir kombinasyonunu kullandı.
Raporda, “Bu en son kampanyalarda görülen bulut tabanlı taktiklerin, tekniklerin ve prosedürlerin (TTP’ler) çoğu, geçmişte Peach Sandstorm tarafından kullanılan yeteneklerden maddi olarak daha karmaşıktır” diye açıklandı.
Saldırıları Tor IP’lerinden gerçekleştiren ve bir “go-http-client” kullanıcı aracısı kullanan saldırganlar, AzureHound ve Roadtools gibi araçları kullanarak keşif gerçekleştirdi ve kalıcılık için Azure kaynaklarından yararlandı.
Raporda şöyle devam edildi: “Bilinen güvenlik ihlallerinin sonraki aşamalarında, tehdit aktörü ek araçlar bırakmak, yanlara doğru hareket etmek ve sonuçta bir hedeften veri sızdırmak için bilinen bir dizi TTP’den farklı kombinasyonlar kullandı.”
Ek bir saldırı yöntemi, savunmasız uygulamalardan uzaktan yararlanma biçimini aldı; Peach Sandstorm, Zoho ManageEngine (CVE-2022-47966) ve Atlas Confluence’daki (CVE-2022-26134) bilinen uzaktan kod yürütme (RCE) güvenlik açıklarından yararlanmaya çalıştı. ilk erişim. Her iki hata da her türden APT’de popülerdir.
Peach Sandstorm, uzlaşma sonrası faaliyetlerde, uzaktan izleme ve yönetim için AnyDesk’i dağıtmak, kimlik doğrulamayı atlamak için Golden SAML saldırıları gerçekleştirmek, DLL arama emirlerini ele geçirmek ve trafiği tünellemek için EagleRelay gibi özel araçları kullanmak gibi çeşitli taktikler kullandı.
Raporda, Peach Sandstorm’un hedef ortamlarda gizlice yeni Azure abonelikleri oluşturmak için parola püskürtme saldırıları yoluyla doğrulanan meşru kimlik bilgilerinden yararlanması ve güvenliği ihlal edilmiş ağlar üzerinde kontrolü sürdürmek için Azure Arc’ı kullanması nedeniyle kampanyanın özellikle endişe verici olduğu belirtildi.
Savunmada Şifrelerin Sıfırlanması, Oturum Çerezlerinin İptal Edilmesi
Raporda, “Peach Sandstorm yeni yetenekleri giderek daha fazla geliştirip kullandıkça, kuruluşların saldırı yüzeylerini güçlendirmek ve bu saldırıların maliyetlerini artırmak için ilgili savunmaları geliştirmesi gerekiyor” ifadesine yer verildi.
Microsoft, Peach Sandstorm’un faaliyetlerine karşı korunmak için kuruluşlara parolalarını sıfırlamalarını, oturum çerezlerini iptal etmelerini ve çok faktörlü kimlik doğrulamayı (MFA) güçlendirmelerini tavsiye etti.
Şirket ayrıca kimlik bilgilerinin güçlü bir şekilde korunmasını ve kimliğe dayalı risklerin izlenmesini önerdi.
Parolasız kimlik doğrulama yöntemlerine geçiş ve uç noktaların MFA ile güvenliğinin sağlanması da riskleri azaltabilir; Active Directory FS sunucularının korunması ise Golden SAML saldırılarına karşı koruma açısından çok önemlidir.
KnowBe4’ün veri odaklı savunma savunucusu Roger Grimes, kullanıcılar her site ve hizmet için benzersiz, güçlü parolalar veya çok faktörlü kimlik doğrulama kullandığında parola sprey saldırılarının işe yaramadığını açıklıyor.
Ancak “çoğu site ve hizmet, en azından henüz MFA’yı kabul etmiyor” diye ekliyor. “Bu yüzden her kullanıcının iyi bir şifre yöneticisi kullanması gerekir.”
İranlı Aktörler Kalıcı Bir Tehdittir
İran hükümetine siber suç faaliyetleri nedeniyle yaptırım uygulamak üzere harekete geçen ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi’ne (OFAC) göre, İranlı tehdit aktörleri, hedeflerin algılarını ve davranışlarını manipüle etmek için saldırgan ağ operasyonlarını mesajlaşma ve güçlendirmeyle birleştiriyor.
Geçen hafta ABD Siber Komutanlığı, İran devleti destekli tehdit aktörlerinin yine ManageEngine kusurunu kullanarak bir ABD havacılık kuruluşundan yararlandığını ortaya çıkardı.
Haziran ayında, APT35 grubunun (diğer adıyla Charming Kitten) hedef odaklı kimlik avı yüklerine arka kapı yetenekleri eklediği ve bununla İsrailli bir muhabiri hedef aldığı keşfedildi.
Microsoft’un Şubat ayında yaptığı duyuruya göre, kendisine Kutsal Ruhlar adını veren bir tehdit grubunun yakın zamanda Fransız hiciv dergisi Charlie Hebdo’ya ait bir veri tabanına eriştiği ve 200.000’den fazla aboneyi silmekle tehdit ettiği saldırının, İranlı devlet aktörü Neptunium’un işi olduğu açıklandı.