Üç devlet kurumunun Ekim ayında ortak bir danışma belgesinde belirttiğine göre, Ocak 2021’de ABD merkezli bir savunma kuruluşunun ağına birden fazla gelişmiş kalıcı tehdit (APT) grubu erişim sağladı ve şirketin bilgisayarları, ağı ve verileri yaklaşık bir yıl boyunca kapsamlı bir şekilde tehlikeye girdi. 4.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanan danışma belgesine göre, saldırganlar kuruluşun Microsoft Exchange Sunucusuna erişime sahipti ve bilgi toplamak ve BT ortamında yatay olarak hareket etmek için Ocak 2021’in ortalarında güvenliği ihlal edilmiş bir yönetici hesabı kullandılar. Ulusal Güvenlik Ajansı (NSA) ve Federal Soruşturma Bürosu (FBI).
Saldırganlar, e-posta mesajlarına ve savunma sözleşmesi bilgilerine erişim elde etti, kullanıcı ayrıcalıklarını yükseltmek için kimlik bilgileri topladı ve verileri harici bir sunucuya taşımak için özel bir sızma aracı CovalentStealer’ı devreye aldı.
Dark Reading’e gönderilen bir bildiride, tekniklerin çoğu halihazırda sistemde bulunan yazılımları veya yaygın olarak bulunan açık kaynak araçlarını kullandı.
“Birçok insan devlet destekli aktörlerin her zaman gelişmiş teknikler kullandığını düşünürken, bu rapor bu aktörlerin kullandığı araç ve tekniklerin birçoğunun savunucular tarafından bilindiğini ve tespit edilebileceğini gösteriyor” dedi.
Nickels, örneğin, ilk erişim için yeni bir Exchange güvenlik açığının kullanılabileceğini, ancak şirket ağlarında yama uygulanmamış çok sayıda Exchange güvenlik açığı olduğunu söyledi.
“Danışma, aktörlerin izinsiz girişte Exchange sunucusuna web kabukları yüklemek için 2021’den itibaren bilinen birden çok güvenlik açığından yararlandığını belirtiyor” dedi. “Birkaç yıl içinde birden fazla Exchange güvenlik açığı olmuştur ve şirket içi Exchange sunucularına yama uygulama zorlukları göz önüne alındığında, bu güvenlik açıklarının çoğu yamalanmamış olarak kalmaktadır ve rakiplere bir ağdan ödün verme fırsatı vermektedir.”
Impacket: Açık Kaynak, Ortak Vektör
APT grupları, savunma yüklenicisinin sistemlerinden taviz vermelerine yardımcı olmak için iki araç kullandı: Python ile yazılmış, yukarıda bahsedilen açık kaynaklı ağ trafiği manipülasyon aracı Impacket; ve erişilebilir dosya paylaşımlarını tanımlayan, içeriklerini sınıflandıran ve ardından verileri uzak bir sunucuya yükleyen özel bir veri hırsızlığı aracı olan CovalentStealer.
Danışmanlık, “APT siber aktörleri, kuruluşun çok işlevli cihazları tarafından kullanılan daha yüksek ayrıcalıklı bir hizmet hesabına erişmek için Impacket ile mevcut, güvenliği ihlal edilmiş kimlik bilgilerini kullandı” dedi.
CovalentStealer’a gelince, önceden belirlenmiş dosya yollarını ve kullanıcı kimlik bilgilerini kullanarak kurbanın belgelerini özel olarak hedefleyen iki yapılandırma içerir. Daha sonra toplanan verileri şifreler ve dosyaları Microsoft OneDrive bulut depolama hizmetindeki bir klasöre yükler; bu, yalnızca belirli zamanlarda ve belirli veri türleriyle sınırlı olacak şekilde yapılandırılabilen bir eylemdir.
Red Canary’s Nickels, böyle özel bir aracın kullanılmasının tespit ve azaltmayı daha zor hale getirebileceğini, ancak tehdit grupları tarafından gerçekleştirilen eylemlerin çoğunun bilinen araç ve teknikleri kullandığını belirtti.
“Impacket, düzenli olarak Red Canary’nin müşteri ortamlarında gözlemlenen ‘ilk 10’ tehditler listesine giriyor – Eylül ayında gözlemlediğimiz en yaygın dördüncü tehditti” dedi.
Tespitlerin üçte birinin meşru test faaliyetlerinden olmasına rağmen, şirketlerin uç noktada çalışan süreçlere ve ağdaki trafiğe görünürlüğü varsa, impacket tespit edilebilir.
Devlet Sponsorlu, Finansal Teknikler Birleşiyor
bu kapsamlı bir saldırı uyarısı savunma müteahhitleri hedefte kalırken gelir. Veri ihlalleri ve fidye yazılımı olayları, tüm kuruluşlar için bir endişe kaynağı haline geldi. Özel kötü amaçlı yazılımlar siber casusluk operasyonlarının tespit edilmesini zorlaştırabilirken, CEO ve kurucusu Mike Wiacek’e göre Uber ve Los Angeles Unified School District’in karşılaştığı çok daha yaygın veri ihlalleri bilinen araçları ve güvenlik açıklarını kullanıyor. Stairwell, bir siber güvenlik istihbarat platformu.
Dark Reading ile paylaşılan bir analizde, “Ticari kuruluşlar için, bir aktörün hassas verileri içeren açık ağ paylaşımlarını taramak için ‘gelişmiş kalıcı bir tehdit’ olması gerekmediğini hatırlamak önemlidir” dedi. “Güvenlik hijyeni, hassas verilerin, güvenliği ihlal edilmiş tek bir VPN kimlik bilgilerinin daha sonra değerli fikri mülkiyetin kaybolmasına yol açabileceği açık ağ paylaşımlarında oturmamasını sağlamak için hayati önem taşıyor.”
Federal danışma, başarılı APT gruplarının neden olduğu tavizleri önlemek ve en aza indirmek için Savunma Sanayi Üssü’ndeki (DIB) kuruluşlara özel önerilerde bulundu. CISA, kuruluşların, özellikle olağandışı sanal özel sunucu (VPS) veya sanal özel ağ (VPN) hizmetleri kullananlar olmak üzere, şüpheli iletişim belirtileri için günlük dosyalarını izlemesini önerir. Ağları bölümlere ayırmak, anormal davranışlar için sistemleri izlemek ve uzaktan erişim araçlarının kullanımını kısıtlamak ABD kurumlarının önerdiği uygulamalar arasında.
