Kötü şöhretli BlackByte fidye yazılımı türünü kullanan tehdit aktörleri, kurumsal ağların temel altyapısını tehlikeye atmak amacıyla VMware ESXi’deki son kimlik doğrulama atlama güvenlik açığını hedef alan hızla artan sayıda siber suçlunun arasına katıldı.
Hata, şu şekilde izlendi: CVE-2024-37085Active Directory’de (AD) yeterli erişime sahip bir saldırganın bir ESXi ana bilgisayarına tam erişim elde etmesine olanak tanır eğer bu ana bilgisayar kullanıcı yönetimi için AD kullanıyorsa.
Popüler Bir Hedef
Microsoft ve diğer güvenlik satıcıları daha önce Black Basta (diğer adıyla Storm-0506), Manatee Tempest, Scattered Spider (diğer adıyla Octo Tempest) ve Storm-1175 gibi fidye yazılımı gruplarını tanımladı ve Akira ve Black Basta gibi fidye yazılımı türlerini dağıtmak için CVE-2024-37085’i kullandı. Bu saldırılarda saldırganlar AD ayrıcalıklarını kullanarak “ESX Admins” adlı bir grup oluşturdular veya yeniden adlandırdılar ve ardından bu grubu kullanarak ESXi hipervizörüne tam ayrıcalıklı bir kullanıcı olarak eriştiler.
BlackByte’ın bu güvenlik açığını kullanması, tehdit grubunun Microsoft Exchange’deki ProxyShell açığı gibi halka açık güvenlik açıklarını tarayıp istismar etme alışkanlığından bir sapmayı temsil ediyor ve ilk tutunma noktasını elde ediyor. BlackByte tehdit aktörlerinin son saldırılarda CVE-2024-37085’i hedef aldığını gözlemleyen Cisco Talos’taki araştırmacılar, taktiği şu şekilde tanımladı: birkaç değişiklikten biri savunucuların önünde kalmak için yakın zamanda yaptılar. Diğer değişiklikler arasında, C/C++’da yazılmış yeni bir BlackByte şifreleyicisi olan BlackByteNT’nin kullanımı, tehlikeye atılmış sistemlerde daha önce üçe kıyasla dört kadar savunmasız sürücünün düşürülmesi ve kendi kendini yaymak için kurban organizasyonun AD kimlik bilgilerinin kullanılması yer alıyor.
Talos’un araştırması, profesyonel, bilimsel ve teknik hizmet sektörlerindeki kuruluşların, güvenlik mekanizmalarını atlatmak için meşru ancak savunmasız sürücülerin kullanıldığı saldırılara karşı en savunmasız olduğunu gösterdi; araştırmacılar buna “güvenlik açığı” adını veriyor. Kendi Savunmasız Sürücünüzü Getirin (Kendi içkinizi getirin).
“BlackByte’ın programlama dillerinde C#’dan Go’ya ve ardından şifreleyicisinin son sürümü olan BlackByteNT’de C/C++’a ilerlemesi, kötü amaçlı yazılımın tespit ve analize karşı dayanıklılığını artırmak için bilinçli bir çabayı temsil ediyor,” Talos araştırmacıları James Nutland, Craig Jackson ve Terryn Valikodath bu hafta bir blog yazısında yazdılar. “BlackByte şifreleyicisinin kendi kendini yayan yapısı, savunucular için ek zorluklar yaratıyor. BYOVD tekniğinin kullanımı, kontrol altına alma ve yok etme çabaları sırasında güvenlik kontrollerinin etkinliğini sınırlayabileceğinden bu zorlukları daha da artırıyor.”
Sürekli Değişim
Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccione, BackByte’ın ESXi’deki CVE-2024-37085 gibi güvenlik açıklarına yönelmesinin, saldırganların savunmacıların önünde kalmak için taktiklerini, tekniklerini ve prosedürlerini sürekli olarak nasıl geliştirdiklerinin bir göstergesi olduğunu söylüyor. Guccione, “BlackByte ve benzeri tehdit aktörlerinin ESXi’deki güvenlik açıklarını istismar etmesi, kurumsal ağların temel altyapısını tehlikeye atmak için odaklanmış bir çabayı gösteriyor,” diyor. “ESXi sunucularının genellikle birden fazla sanal makineye ev sahipliği yaptığı göz önüne alındığında, tek bir başarılı saldırı yaygın bir kesintiye neden olabilir ve bu da onları fidye yazılımı grupları için birincil hedef haline getirebilir.”
Bu yılın başlarında VMWare ESXi ve diğer sanallaştırılmış ortamlara yönelik çok sayıda fidye yazılımı saldırısını araştıran Sygnia, saldırıları anlattı Çoğu durumda belirli bir desende ortaya çıkar. Saldırı zinciri, saldırganın bir kimlik avı saldırısı, güvenlik açığı istismarı veya kötü amaçlı dosya indirme yoluyla hedef ortama ilk erişimini elde etmesiyle başlar. Bir ağa girdikten sonra saldırganlar, ESXi ana bilgisayarları veya vCenter için kimlik bilgilerini elde etmek amacıyla etki alanı bağlantılı VMware örnekleri için etki alanı grubu üyeliklerini değiştirme veya RDP ele geçirme gibi taktikler kullanma eğilimindedir. Daha sonra kimlik bilgilerini doğrular ve bunları ESXi ana bilgisayarlarında fidye yazılımlarını yürütmek, yedekleme sistemlerini tehlikeye atmak veya bunlara ait parolaları değiştirmek ve ardından verileri sızdırmak için kullanırlar.
Artan İşletme Baskısı
Araştırmacılara göre, ESXi ortamlarına yönelik saldırılar, kuruluşlar ve güvenlik ekipleri üzerinde çok yönlü bir güvenlik programı sürdürme baskısını artırıyor. Cisco Talos araştırmacıları, “Buna, güçlü güvenlik açığı yönetimi, tehdit istihbarat paylaşımı ve gelişen düşman TTP’lerine ayak uydurmak için olay yanıt politikaları ve prosedürleri gibi uygulamalar dahildir” dedi. “Bu durumda, güvenlik açığı yönetimi ve tehdit istihbarat paylaşımı, saldırganların bir saldırı sırasında ESXi güvenlik açığı gibi daha az bilinen veya yeni yolları belirlemeye yardımcı olacaktır.”
Felaket kurtarma firması Fenix24’ün kurucu ortağı Heath Renfrow, CVE-2024-37085 ile kuruluşların, bunun için hafifletme önlemlerini uygulamada algılanan zorluklar nedeniyle ek bir zorlukla karşı karşıya olduğunu söylüyor. Renfrow, “Bu hafifletme önlemleri arasında ESXi’nin AD’den bağlantısının kesilmesi, ESXi’yi yöneten AD’deki daha önce kullanılan grupların kaldırılması ve ESXi’nin güvenlik açığının giderildiği 8.0 U3’e yamalanması yer alıyor,” diyor. “VMware, küresel olarak en yaygın kullanılan sanal çözümdür ve saldırı izi geniş ve kolayca istismar edilebilir. Bu, tehdit aktörlerinin taç mücevherlerine erişmesini ve hızla önemli hasara yol açmasını kolay bir kazanç haline getiriyor.”