Avustralya, Kanada ve ABD’den siber güvenlik ve istihbarat teşkilatları, İranlı siber aktörlerin kaba kuvvet saldırıları yoluyla kritik altyapı kuruluşlarına sızmak için yürüttüğü bir yıl süren kampanya hakkında uyarıda bulundu.
Ajanslar, “Ekim 2023’ten bu yana İranlı aktörler, kullanıcı hesaplarını ele geçirmek ve sağlık ve halk sağlığı (HPH), hükümet, bilgi teknolojisi, mühendislik ve enerji sektörlerindeki kuruluşlara erişim sağlamak için kaba kuvvet ve şifre püskürtme kullanıyor.” söz konusu ortak danışmada.
Avustralya Federal Polisi (AFP), Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi (ACSC), Kanada İletişim Güvenliği Kuruluşu (CSE), ABD Federal Bakanlığı’na göre saldırılar sağlık, hükümet, bilgi teknolojisi, mühendislik ve enerji sektörlerini hedef aldı. Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Ulusal Güvenlik Ajansı (NSA).
Kaba kuvvet ve parola püskürtmenin dışındaki bir diğer dikkate değer taktik, ilgilenilen ağlara sızmak için çok faktörlü kimlik doğrulama (MFA) istemi bombardımanının kullanılmasıyla ilgilidir.
Tenable araştırma direktörü Ray Carney, “Push bombalaması, tehdit aktörleri tarafından kullanılan, MFA anlık bildirimleriyle bir kullanıcıyı su altında bırakan veya bombalayan bir taktiktir ve bu taktik, kullanıcıyı istemeden veya rahatsızlıktan dolayı isteği onaylaması için manipüle etmek amacıyla kullanılır.” bir açıklamada söyledi.
“Bu taktiğe aynı zamanda MFA yorgunluğu da deniyor. Kimlik avına karşı dirençli MFA, push bombardımanını önlemenin en iyi mekanizmasıdır, ancak bu bir seçenek değilse, kullanıcıların şirket onaylı bir kimlik sisteminden zamana özel bir kod girmesini gerektiren numara eşleştirme – kabul edilebilir bir yedeklemedir. Çoğu kimlik sisteminde ikincil özellik olarak numara eşleştirme bulunur.”
Bu saldırıların nihai hedefi, ABD tarafından daha önce Ağustos 2024’te yayınlanan bir uyarıyı hatırlatarak, muhtemelen kurbanın ağını tanımlayan kimlik bilgilerini ve bilgileri elde etmek ve bunları daha sonra diğer siber suçlulara erişim sağlamak için satabilmektir.
İlk erişimi, arazide yaşama (LotL) araçlarını kullanarak kuruluşun sistemleri ve ağında kapsamlı keşif yapma, CVE-2020-1472 (aka Zerologon) aracılığıyla ayrıcalıkları artırma ve RDP aracılığıyla yanal hareket etme adımları takip ediyor. Tehdit aktörünün kalıcılığı sürdürmek için kendi cihazlarını MFA’ya kaydettirdiği de tespit edildi.
Bazı durumlarda saldırılar, Cobalt Strike komuta ve kontrol (C2) altyapısına giden bağlantılar kurmak için msedge.exe kullanılarak gerçekleştirilir.
Ajanslar, “Aktörler, ek kimlik bilgileri elde etmek ve ek erişim noktaları elde etmek için kullanılabilecek diğer bilgileri belirlemek için ele geçirilen ağlarda keşif gerçekleştirdiler” dedi ve “bu bilgileri siber suç forumlarında bilgileri başka amaçlar için kullanabilecek aktörlere sattıklarını” da sözlerine ekledi. ek kötü amaçlı etkinlik gerçekleştirin.”
Uyarı, Beş Göz ülkelerindeki devlet kurumlarının, tehdit aktörlerinin Active Directory’yi tehlikeye atmak için kullandıkları yaygın teknikler hakkında kılavuz yayınlamasından haftalar sonra geldi.
Ajanslar, “Active Directory, kurumsal bilgi teknolojisi (BT) ağlarında küresel olarak en yaygın kullanılan kimlik doğrulama ve yetkilendirme çözümüdür.” söz konusu. “Kötü niyetli aktörler, ayrıcalıkları yükselterek ve en yüksek gizli kullanıcı nesnelerini hedef alarak kurumsal BT ağlarını tehlikeye atma çabalarının bir parçası olarak rutin olarak Active Directory’yi hedef alıyor.”
Microsoft, bunun aynı zamanda tehdit ortamındaki bir değişimi de takip ettiğini belirtiyor: Ulus devlet korsanlık ekipleri siber suçlularla giderek daha fazla işbirliği yapıyor, operasyonlarının bazı kısımlarını jeopolitik ve finansal amaçlarını ilerletmek için dış kaynaklardan sağlıyor. söz konusu.
Teknoloji devi, “Ulus devlet tehdit aktörleri mali kazanç elde etmek için operasyonlar yürütüyor ve istihbarat toplamak için siber suçluların ve ticari amaçlı kötü amaçlı yazılımların yardımını alıyor” dedi. not edildi 2024 Dijital Savunma Raporu’nda.
“Ulus devlet tehdit aktörleri mali kazanç elde etmek için operasyonlar yürütüyor, siber suçluları Ukrayna ordusu hakkında istihbarat toplamaları için görevlendiriyor ve aynı bilgi hırsızlarından, komuta ve kontrol çerçevelerinden ve siber suçlu topluluğu tarafından tercih edilen diğer araçlardan yararlanıyor.”