Giriş
Son zamanlarda, Storm-2949 adı verilen bir tehdit aktörü, Microsoft 365 ve Azure üretim ortamlarını hedef alarak, meşru uygulamaları ve yönetim özelliklerini istismar ederek veri çalmaktadır. Bu saldırılar, yüksek değerlere sahip varlıklardan mümkün olduğunca hassas veriyi çıkarmayı amaçlamaktadır.
Saldırı Nasıl Çalışıyor?
Storm-2949, sosyal mühendislik yöntemleriyle, IT personeli ya da üst düzey yöneticiler gibi ayrıcalıklı rollere sahip kullanıcıları hedef alarak, onların Microsoft Entra ID kimlik bilgilerini elde etmeyi başarmıştır. Saldırgan, hedef bir çalışanın hesabı için bir şifre sıfırlama işlemi başlatmakta ve ardından kurbanı çok faktörlü kimlik doğrulama (MFA) bildirimlerini onaylamaya ikna etmektedir. Bu işlemin detayları şu şekildedir:
- Saldırgan, acil bir doğrulama gerektiğini belirterek IT destek çalışanı gibi davranır.
- Şifreyi sıfırlar, MFA kontrollerini kaldırır ve Microsoft Authenticator’ı kendi cihazına kaydeder.
Etkilenen Sistemler
Saldırgan, ele geçirdiği hesapları kullanarak Microsoft Graph API ve özel Python betikleri aracılığıyla kullanıcıları, rolleri, uygulamaları ve hizmet prensiplerini listelemekte ve her durumda uzun vadeli kalıcılık fırsatlarını değerlendirmektedir. Bu süreçte:
- OneDrive ve SharePoint’i erişerek VPN yapılandırmalarını ve IT operasyon dosyalarını arar.
- Daha sonra binlerce dosyayı tek bir işlem ile kendi altyapısına indirmiştir.
Bunların yanında, Storm-2949 saldırısını kurbanın Azure altyapısına yayarak sanal makineler, depolama hesapları, anahtar kasaları ve SQL veritabanlarını hedef almıştır.
Pivoting to Azure
Microsoft’a göre, saldırgan, birden fazla Azure aboneliğinde ayrıcalıklı özel Azure rol tabanlı erişim kontrol (RBAC) rollerine sahip birkaç kimliği ele geçirmiştir. Bu, saldırgana aşağıdaki eylemleri gerçekleştirme imkanı tanımıştır:
- FTP, Web Deploy ve Kudu konsolu kullanarak Azure App services için uzaktan yönetim yetenekleri sağlamıştır.
- Ayrıca, Azure Key Vault’larda erişim ayarlarını değiştirerek veri tabanı kimlik bilgileri ve bağlantı dizelerini çalmıştır.
Saldırgan, Azure SQL sunucularını ve depolama hesaplarını hedef alarak güvenlik duvarı ve ağ erişim kurallarını değiştirmiş ve verileri özel Python betikleri aracılığıyla dışarıya çıkarmıştır.
Çözüm ve Korunma
Microsoft, Storm-2949 saldırılarına karşı savunma amacıyla aşağıdaki güvenlik önlemlerini takip etmeyi önermektedir:
- Ayrıcalık ilkesini benimseyin.
- Koşullu erişim politikalarını etkinleştirin.
- Tüm kullanıcılar için MFA koruması ekleyin.
- Ayrıcalıklı rollere sahip kullanıcılar için kimlik avına karşı dirençli MFA’nın sağlandığından emin olun.
Ayrıca, Azure kaynaklarını korumak için RBAC izinlerini sınırlamalarını, Azure Key Vault günlüklerini bir yıla kadar tutmalarını, genel erişimi kısıtlamalarını ve yüksek riskli Azure yönetim işlemlerini izlemelerini öneririz.
Sonuç
Microsoft’un sağladığı kritik verilerle birlikte, bu saldırılar karşısında öncelikle sistemlerinizi güncelleyerek, portları kapatmalı ve yukarıda belirtilen güvenlik uygulamalarını hayata geçirmelisiniz. Unutmayın ki, varlıklarınızın korunması için gerekli adımları atmak, siber güvenlikteki başarınızın anahtarıdır.
