Giriş
İran merkezli bir siber tehdit aktörünün, Microsoft 365 ortamlarını hedef alan bir parola püskürtme kampanyası düzenlediği bildirilmektedir. Bu etkinlik, Ortadoğu’daki mevcut çatışmalar arasında kritik bir öneme sahiptir ve etkisi altında 300’den fazla kuruluş bulunmaktadır.
Saldırı Nasıl Çalışıyor?
Parola püskürtme, bir tehdit aktörünün tek bir yaygın parolayı birden fazla kullanıcı adı üzerinden aynı uygulamada test ettiği bir brute-force saldırı türüdür. Bu yöntem, zayıf kimlik bilgilerini tespit etmek için daha etkili bir yol sunarken, hız kısıtlama savunmalarını tetiklemeden gerçekleştirilir. Bu kampanyanın üç aşamada gerçekleştiği tespit edilmiştir:
- Agresif tarama veya parola püskürtme, Tor çıkış düğümlerinden gerçekleştirilmektedir.
- Giriş işleminin yapılması.
- Hassas verilerin (örneğin, e-posta içeriği) dışa aktarılması.
Check Point, bu saldırının İranlı hacker grupları Peach Sandstorm ve Gray Sandstorm (eski adıyla DEV-0343) tarafından da daha önce uygulandığını belirtmiştir.
Etkilenen Sistemler
Kampanya, özellikle aşağıdaki alanlarda faaliyet gösteren kuruluşları hedef almaktadır:
- Devlet kurumları
- Belediyeler
- Teknoloji firmaları
- Taşımacılık ve enerji sektörü organizasyonları
- Özel sektör şirketleri
Etki alanı, yalnızca İsrail ve BAE ile sınırlı kalmayıp, Avrupa, ABD, Birleşik Krallık ve Suudi Arabistan’da da gözlemlenmiştir.
Çözüm ve Korunma
Tehditlere karşı koyabilmek için kuruluşlardan önerilen önlemler şunlardır:
- Giriş kayıtlarını izleyerek parola püskürtme belirtilerini tespit etmek.
- Kimlik doğrulamayı onaylı coğrafi bölgelere sınırlamak için koşullu erişim kontrolleri uygulamak.
- Tüm kullanıcılar için çok faktörlü kimlik doğrulamasını (MFA) zorunlu kılmak.
- Uzun dönemli inceleme için denetim kayıtlarını etkinleştirmek.
Ayrıca, siber güvenlik uzmanlarının dikkatli bir şekilde bu saldırıların izlerini takip etmeleri gerekmektedir.
Sonuç
Kuruluşların, en kısa sürede güncellemeler yapması, şüpheli giriş denemelerine karşı ağlarını gözlemlemesi ve gerekli güvenlik önlemlerini alması hayati önem taşımaktadır. Port kapatma veya gerekli önlemleri almak da bir diğer önemli adımdır. Özellikle uluslararası siber tehditlerin arttığı bu dönemde, proaktif bir güvenlik stratejisi benimsemek gerekmektedir.
