Bu yazın başlarında yaşanan kötü şöhretli Ticketmaster ihlalinin ardındaki tehdit grubu, veri hırsızlığı ve ardından çalınan verilerin satışı ötesine geçmek için taktiklerini geliştiriyor. Artık meşru kimlik bilgilerine sahip bulut ortamlarını hedeflemeye devam ederken gasp tabanlı saldırıları benimsiyor.
Palo Alto Networks’ün 42. Birimindeki araştırmacılar, “Bling Libra” (diğer adıyla ShinyHunters) adını verdikleri grubun operasyonları hakkında yeni ayrıntılar ortaya çıkardı. Bu grup, muhtemelen etkileyici bir şekilde 560 milyon müşteri kaydını çalmasıyla tanınıyor. etkinlik devi Ticketmaster ve bu yılın başlarında BreachForums’da satışa sunuldu.
O zamandan beri Bling Libra, yakın zamanda yapılan bir araştırmaya göre tutarlı bir saldırı örüntüsüyle bulut ortamlarını hedef almaya devam etti. blog yazısı Unit 42’den Margaret Zimmermann ve Chandni Vaya tarafından. Grup, 2020’deki kuruluşundan bu yana, veritabanı altyapısını hedeflemek ve kişisel olarak tanımlanabilir bilgileri (PII) çalmak için meşru kimlik bilgileri ediniyor.
Ancak, taktiklerde yakın zamanda yapılan bir değişiklik aynı ilk erişim rutinini kullanırken, Bling Libra artık şu şekilde dönüş yaptı: genellikle fidye yazılımlarıyla ilişkilendirilen çift gasp taktikleri çeteler — önce kurbanların verilerini çalıyorlar, ardından fidye ödenmezse verileri çevrimiçi olarak yayınlamakla tehdit ediyorlar.
Gasp için AWS’yi Hedefleme
Araştırmacılar, Unit 42 tarafından yakın zamanda araştırılan bir saldırıda grubun, çalınan kimlik bilgilerini kullanarak erişim sağlayarak bir kuruluşun Amazon Web Services (AWS) ortamını hedef aldığını ve ardından ağda gezinmeye başladığını söyledi.
“Tehdit altındaki kimlik bilgileriyle ilişkili izinler ihlalin etkisini sınırlasa da, Bling Libra kuruluşun AWS ortamına sızdı ve keşif operasyonları yürüttü,” diye yazdılar gönderide. Grup, S3 kova yapılandırmaları hakkında bilgi toplamak, S3 nesnelerine erişmek ve verileri silmek için Amazon Simple Storage Service (S3) Browser ve WinSCP gibi araçları kullandı.
Araştırmacılar, Bling Libra’nın internette ifşa edilen ve aslında çeşitli kimlik bilgileri içeren hassas bir dosyadan AWS kimlik bilgilerini çaldığını belirtti. Ancak, grup “özellikle bir kimlik ve erişim yönetimi (IAM) kullanıcısına ait ifşa edilen AWS erişim anahtarını ve bir avuç diğer ifşa edilen kimlik bilgilerini hedef aldı” diye yazdılar.
Kimlik bilgileri, tehdit aktörlerinin IAM kullanıcısının bulunduğu AWS hesabına erişmesini ve tüm kullanıcı izinlerinin verildiği AmazonS3FullAccess politikası bağlamında S3 kovasıyla etkileşim kurmak için AWS API çağrıları gerçekleştirmesini sağladı.
Ancak bu durumda saldırganların verileri sızdıran ve ortamdan silen bir saldırı başlatmadan önce ağda yaklaşık bir ay boyunca gizlenmeleri yeterliydi ve geride kuruluşa fidye ödemesi için bir hafta süre veren bir gasp notu bıraktılar. Bling Libra ayrıca araştırmacıların söylediğine göre, muhtemelen “kuruluşla saldırı hakkında alay etmek için” arkalarında yeni S3 kovaları oluşturdu.
Kimlik Bilgileri Bir Güvenlik Açığı Olarak Kalıyor
Haziran ayında ortaya çıkan Ticketmaster saldırısı, Bling Libra’nın saldırıda elde edebildiği veri miktarı açısından dikkat çekiciydi. Grup, o dönemde çalınan yarım milyondan fazla kaydın isimler, e-postalar, adresler ve kısmi ödeme kartı bilgileri gibi kişisel olarak tanımlanabilir bilgileri (PII) içerdiğini iddia etmişti.
Aynı ayın ilerleyen günlerinde grup ayrıca bir saldırının sorumluluğunu da üstlendi ayrı saldırı Avustralya’daki benzer bir şirket olan Ticketek Entertainment Group’ta (TEG); Ticketmaster gibi, bu saldırı da Mayıs ayında gerçekleşti. Gerçekten de, grup, etkileyen birkaç önemli veri ihlaliyle ilişkilendirildi on milyonlarca veri kaydı.
Birçok durumda, Bling Libra nihai hedeflerine üçüncü taraf bir bulut sağlayıcısı aracılığıyla saldırır. Ticketmaster ve diğerlerinde, bu sağlayıcı Kar tanesive saldırganlar, çok faktörlü kimlik doğrulaması (MFA) etkinleştirilmediği için güvenlik açığı bulunan meşru bulut hesaplarının kimlik bilgilerini kullandı.
Aslında, MFA eksikliği ve “aşırı izin verici kimlik bilgilerine ilişkin endişe verici bir eğilim” yalnızca Bling Libra ve diğer saldırganların bulut ortamlarına nasıl eriştiğiyle ilgili ortak temalar değil, araştırmacılar yazdı. Giderek daha fazla kuruluş kritik operasyonları buluta taşımaSavunmacıların, bilgili aktörlerin saldırılarından kaçınma umuduna sahip olmak için kimlik doğrulama ve izinlerle ilgili temel sorunları çözmeleri gerektiğini söylediler.
Unit 42, Bling Libra’nın saldırıda istismar ettiği ilk erişim senaryosundan kaçınmak için kuruluşların mümkün olduğunca her zaman MFA kullanmasını önerdi. Araştırmacılar, kullanıcı izinlerini yalnızca ihtiyaç duydukları süreçler ve varlıklarla sınırlayan güvenli bir IAM çözümü kullanmanın (her hesaptaki bireysel IAM politikalarından bağımsız olarak) saldırganların hassas verilere erişmesini de önleyebileceğini söyledi.
“İşletmeler bulut teknolojilerini giderek daha fazla benimserken, Bling Libra gibi grupların oluşturduğu tehdit, sağlam siber güvenlik uygulamalarının önemini vurguluyor,” diye yazdılar. “Proaktif güvenlik önlemleri uygulayarak ve kritik günlük kaynaklarını izleyerek, kuruluşlar bulut varlıklarını etkili bir şekilde koruyabilir ve siber tehditlerin etkisini azaltabilir.”