Siber Güvenlikte Yeni Tehdit: UNK_SneakyStrike
Siber güvenlik araştırmacıları, Microsoft Entra ID kullanıcı hesaplarını hedef alan yeni bir hesap ele geçirme (ATO – Account Takeover) kampanyasını ortaya çıkardılar. Bu kampanya, TeamFiltration adını taşıyan açık kaynaklı bir penetrasyon testi çerçevesini kullanarak gerçekleştirilmekte. Geçtiğimiz yılın Aralık ayında görülen girişimlerin ardından, bu kampanya dünya çapında yüzlerce kuruluşun bulut ortamlarındaki 80,000’den fazla kullanıcı hesabını etkiledi.
TeamFiltration: Penetrasyon Testinde Yeni Bir Araç
TeamFiltration, araştırmacı Melvin "Flangvik" Langvik tarafından 2022 yılının Ağustos ayında DEF CON güvenlik konferansında kamuya sunulan bir çerçeve. Bu araç, Microsoft Entra ID hesaplarının enumerasyonu, parola taraması, veri sızdırılması ve kötü niyetli dosyaların yüklenmesi için geniş yetenekler sunuyor. Araç, kullanıcı hesaplarını ele geçirmek için parola tarama saldırıları düzenlemekte ve bu süreçte hedefin Microsoft OneDrive hesabına kötü amaçlı dosyalar yükleyerek kalıcı erişim sağlamakta.
Saldırı Yöntemleri ve Hedef Alma Stratejisi
Araştırmalara göre, saldırganlar, Microsoft Teams API’si ve çeşitli coğrafi bölgelerde yer alan Amazon Web Services (AWS) sunucuları kullanarak kullanıcı enumerasyonu ve parola taraması gerçekleştirmektedirler. Saldırganlar, Microsoft Teams, OneDrive, Outlook gibi belirli kaynaklara ve yerel uygulamalara erişim elde ederek bu saldırıları yürütmektedirler.
TeamFiltration kullanılarak gerçekleştirilen bu saldırılar, her bir parola tarama dalgasının farklı bir sunucudan, yeni bir coğrafi konumdan ortaya çıktığını gösteriyor. Saldırılara katılan IP adreslerinin en çok bulunduğu üç ana coğrafya; Amerika Birleşik Devletleri (%42), İrlanda (%11) ve Büyük Britanya (%8) olarak sıralanmaktadır.
Saldırıların Dinamik Yapısı
UNK_SneakyStrike adı verilen bu aktivite, yüksek yoğunluklu kullanıcı enumerasyonunu ve parola taramalarını içermektedir. Saldırıların, belirli bir bulut ortamındaki birkaç kullanıcıya yoğunlaşan "yoğun patlamalar" şeklinde gerçekleştiği gözlemlenmiştir. Bu yoğun aktivitelerin ardından genellikle dört ila beş gün süren bir duraksama dönemi yaşanmaktadır.
Bu durum, siber güvenlik profesyonelleri tarafından kullanılan araçların kötü niyetli aktörler tarafından nasıl istismar edilebileceğini bir kez daha gözler önüne sermektedir. Saldırganlar, kullanıcı hesaplarını ihlal ederek hassas verileri toplayabilir ve kalıcı erişim sağlama yöntemleri kullanarak hedeflerine ulaşabilirler.
TeamFiltration’ın Kullanım Yöntemleri
TeamFiltration, kullanıcı hesaplarının ele geçirilmesine yönelik faaliyetler için birkaç adım içermektedir. İlk aşama, parola taraması yaparak hedefteki hesapların tespit edilmesidir. Ardından, bulut ortamındaki bilgilerin sızdırılması işlemi gelmektedir. Bu süreçte kötü niyetli dosyalar yüklenerek hesap kontrol altına alınmaya çalışılmaktadır.
Araştırmalar, UNK_SneakyStrike’ın hedefleme stratejisinin, küçük bulut kiracıları içindeki tüm kullanıcı hesaplarına erişim sağlamayı amaçlarken, daha büyük kiracılardaki yalnızca belirli bir kullanıcı grubuna odaklandığını göstermektedir. Bu davranış şekli, aracın gelişmiş hedef edinme özellikleri ile örtüşmektedir.
Gelecek İçin Öneriler
Organizasyonların bu tür tehditlere karşı daha sağlam önlemler alması büyük bir önem taşımaktadır. Şirketlerin, güçlü parolalar kullanmasının yanı sıra çok faktörlü kimlik doğrulama sistemleri gibi ek güvenlik önlemleri uygulaması gerekmektedir. Ayrıca, çalışanların siber güvenlik konusunda eğitim alması ve bu tür saldırılar hakkında bilinçlenmesi de kritik bir öneme sahiptir.
Sonuç olarak, siber tehditler sürekli evrim geçirmekte ve ortaya çıkan yeni araçlar, siber güvenlik alanında ciddi tehditler oluşturabilmektedir. UNK_SneakyStrike kampanyası, bu durumun açık bir örneğidir. Kuruluşların bu tür saldırılara karşı proaktif bir yaklaşım benimsemesi, uzun vadede siber güvenliklerini korumalarına yardımcı olacaktır.
