Araştırmacılar, yalnızca üç ay içinde üst düzey yöneticiler de dahil olmak üzere en az 40.000 kurumsal kullanıcının güvenliğini ihlal eden, devlet destekli aktörler tarafından üç yeni kimlik bilgisi avı kampanyasının ortaya çıktığını buldu.
Menlo Security’den bunları keşfeden araştırmacılara göre, saldırılar çeşitli endüstrileri hedef alıyor ve tarayıcılar aracılığıyla kurumsal ortamlara girerek ağ altyapısı güvenlik kontrollerini ve bulut ağ hizmetlerini aşmalarına olanak tanıyor ve rakiplerin yeteneklerinde bir evrim olduğunu gösteriyor.
LegalQloud, Eqooqp ve Boomer adı verilen kampanyalar, araştırmacıların çok faktörlü kimlik doğrulama (MFA) ve URL filtreleme gibi kontrolleri atlatabilen, yüksek derecede kaçamak ve uyarlanabilir tehdit (HEAT) saldırı teknikleri olarak adlandırdıkları saldırı tekniklerini kullanmalarıyla karakterize ediliyor.
Kampanyalar tarafından kullanılan taktikler arasında MFA’nın atlanması ve kimlik avı kitlerinin kullanılması yer alıyor. ortadaki-düşman (AitM) kullanıcı oturumlarını devralma taktikleri; Hedeflenen kuruluşlara aşina veya onlarla ilişkili olan, başta Microsoft olmak üzere kuruluşların kimliğine bürünmek; ve filtreleme teknolojilerinin izlemesini ve dolayısıyla tespit etmesini zorlaştıran dinamik kimlik avı bağlantılarının kullanılması.
Rapora göre, “Bunlar zorlu yeni taktiklerdir ve güvenlik uygulayıcılarının kontrolleri artırması ve bunlara derhal müdahale etmeye özen göstermesi gerekir.” “Bu karmaşık saldırılar, güvenli hizmet Edge (SSE), güvenli Web ağ geçitleri (SWG) ve uç nokta algılama ve yanıt (EDR) gibi geleneksel ağ güvenliği kontrollerinin etkinliği hakkındaki endişeleri artırıyor.”
Kampanyalar, yalnızca kimlik bilgilerine yönelik kimlik avını hedef alıyor ve bunları Çin’in sponsor olduğu tehdit aktörleriyle ilişkilendirecek kanıtlar sunuyor. hedef alıyorlar Rapora göre, ABD ve özel teşebbüs “ulusal güvenliğe endişe verici bir risk oluşturan ve yenilikleri yağmalayan agresif siber casusluk çabalarında” bulunuyor. Ancak araştırmacılar daha önce Microsoft tarafından takip edilen bir gruba bazı atıflar yapmış olsalar da Fırtına-1101/DEV-1101 Kampanyalarda kullanılan AitM taktiklerini geliştirmesiyle bilinen şirketin saldırıların hangi ülkeye bağlı olduğu tam olarak belli değil.
Toplamda, kampanyalar 10’dan fazla sektör ve devlet kurumunda 3.000’den fazla benzersiz alanı hedef aldı ve kullanıcıların tıkladığı 10 kötü amaçlı bağlantıdan altısı bir tür kimlik avı kampanyası veya dolandırıcılıkla bağlantılıydı; dört kimlik avı bağlantısından biri ele geçirildi Araştırmacılar, eski URL filtrelemesinin geçmiş olduğunu buldu.
Genel olarak, bu aktivite “ulus-devlet siber aktörlerinin” nasıl olduğunu göstermektedir. yöntemlerini sürekli geliştirmek Keeper Security’nin güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet, “saldırılarını daha karmaşık ve uyarlanabilir hale getirmek için” diyor. Bu da kuruluşların “siber güvenlik stratejilerini uyarlamanın esneklik ve çeviklik gerektiren devam eden bir süreç olduğunu” kabul etmesi gerektiği anlamına geliyor. diyor.
Belirli Kimlik Bilgisi Çalma Kampanyaları
Kampanyaların benzerlikleri olsa da her birinin kendine özgü hedef ve taktikleri var ve bunların hepsinin nihai hedefi, başta siber casusluk olmak üzere daha kötü amaçlarla kurumsal kullanıcıların kimlik bilgilerini ele geçirmek.
Microsoft kimlik bilgilerini çalmak için hukuk firmalarının kimliğine büründüğü için bu adı alan LegalQloud, 90 günde 500 işletmeyi hedef aldı ve yalnızca Çin’in en büyük İnternet şirketine ait olan Tencent Cloud üzerinde barındırılıyor. Araştırmacılar, bu barındırmanın URL’lerin geleneksel sınıflandırma ve izin verilenler listesi kontrollerini atlamasına olanak tanıdığını söyledi.
Eqooqp, AitM saldırılarıyla lojistik, finans, petrol, imalat, yüksek öğrenim ve araştırma firmaları da dahil olmak üzere çok sayıda devlet ve özel sektör kuruluşunu hedef alıyor. MFA’yı yen. Menlo, kötü amaçlı HTML ekleri veya kimlik avı kimlik bilgileri için Microsoft’u taklit eden sayfalara bağlantılar kullanan kampanyayla ilişkili yaklaşık 50.000 saldırı tespit etti.
Bir başka kimlik avı kampanyası olan Boomer, özellikle karmaşıktır; dinamik kimlik avı siteleri, özel HTTP başlıkları, izleme çerezleri, bot tespitine karşı önlemler, şifrelenmiş kod ve sunucu tarafı tarafından oluşturulan kimlik avı sayfalarını içeren gelişmiş kaçınma teknikleriyle hükümet ve sağlık sektörlerini hedef alır.
Rapora göre “Boomer, kampanyanın hızlı dağıtımı ve değiştirilmesi için sunucu tarafında oluşturulan kimlik avı sayfalarını kullanıyor, bu da kampanyanın geleneksel güvenlik araçlarından kaçma yeteneğini geliştiriyor, bu da daha yüksek bir beceri düzeyine işaret ediyor.” “Boomer ayrıca X-XSS Koruması gibi düzgün yapılandırılmış güvenlik başlıkları içeriyor ve simgeler için Font Awesome gibi yasal kitaplıkları kullanıyor.”
Araştırmacılar, kampanyanın Web uygulamasının ayrıca botları tespit etmek ve otomasyonu taramak için daha gelişmiş bir kaçınma taktiği olarak tasarlanmış gizli bir iframe kullandığını buldu.
Daha Güçlü Savunma Talebi
Güvenlik uzmanları, tüm bunların, özellikle iyi kaynaklara sahip devlet destekli aktörlerden gelen saldırıların gelişen doğasına ayak uydurmak için kuruluşların işlerini zorlaştırmaya devam ettiği anlamına geldiğini söylüyor.
Bir güvenlik uzmanı, özellikle saldırganların hedef kullanıcı ile kullanıcının ziyaret etmek istediği web sitesi arasına bir proxy sunucusu yerleştirdiği AitM saldırılarının “siber suçun geleceği” olduğunu ve kuruluşların başına bela olacağını belirtiyor. ileriye dönük güvenlik stratejileri.
“[They] İnsan risk yönetimi platformu şirketi Hoxhunt’un kurucu ortağı ve CEO’su Mika Aalto, “geleneksel sosyal mühendislik saldırılarıyla karşılaştırıldığında son derece etkili ve takip edilmesi ve önlenmesi çok daha zor” diyor.
Saldırganlar için bunları başarmak tarihsel olarak teknik olarak zor olsa da, son zamanlardaki yaygınlıkları, tehdit aktörlerinin bu engeli hızla aştığını gösteriyor ve bu da “AitM entegre kimlik bilgisi toplayıcılar, BEC’ler ve fidye yazılımlarından kaynaklanan ciddi bir ihlal dalgasına” yol açacak. diyor.
Aalto, “Sonuç olarak, bazı saldırıların kullanıcılarınıza ulaşacağını kabul etmelisiniz ve bu nedenle onları bu kader ana hazırlamak için elinizden gelenin en iyisini yapmalısınız” diyor. “Güvenlik bilinci ve e-dolandırıcılık İnsanların AitM’yi ve dinamik kimlik avını anlamaları ve bu saldırıları nasıl tespit edip güvende kalacaklarını bilmeleri için eğitimin en son tehditlere ayak uydurması gerekiyor. Gerçekten de, siber güvenlik artık yalnızca bir kuruluşun kendi verilerini korumakla ilgili değil, bir ulusal güvenlik meselesi olduğundan, en yüksek öncelikle ele alınması gerekiyor,” diye gözlemliyor Tiquet.
Bu, kuruluşların bir yaklaşımı benimsemesini gerektirir. sıfır güven çerçevesi Tiquet, bunun “teknolojik gelişmeler, iş akışı değişiklikleri ve tehdit ortamındaki değişimlerle birlikte gelişmesi gerektiğini” ve “risklerin azaltılmasında ve hassas bilgilerin korunmasında etkili kalmasını sağlamak için” sürekli olarak geliştirilip uyarlanması gerektiğini söylüyor.