Bulut güvenliği, siber suç, sahtekarlık yönetimi ve siber suç
Hackerlar Veri ve Kimlik Bilgisi Hırsızlığı için Infosterer’ı dağıtıyor
Akhabokan Akan (Athokan_akhsha) •
24 Nisan 2025
Bulut altyapısını hedefleyen hack’ler geçen yıl önemli ölçüde arttı, saldırganlar veri ve kimlik bilgisi hırsızlığı için bilgi samanlılarını dağıtmak için yanlış yapılandırmayı ve tek oturum açma özelliklerini kullandı.
Ayrıca bakınız: Bulutu güvence altına almak, her seferinde bir kimlik
Çarşamba günü yayınlanan yıllık güvenlik raporunda Google Mandiant, şirketin 2024 yılında “her zamankinden daha fazla bir bulut bileşenini içeren daha fazla ihlale yanıt verdiğini” söyledi.
Mantian, artan saldırı sayısını, şirket içi altyapıdan hibrid bulut ortamlarına göç eden şirketlere, yeterli güvenlik önlemlerinin mevcut olmasını sağlamadan bağladı.
Bilgisayar korsanları, tehlikeye atıldığında, saldırganlara “bir ortama geniş ton erişim” sağlayan ve ayrıcalık artışına izin veren tek ocaklarla güvence altına alınan merkezi bulut varlıklarını hedefliyor.
Mantiant, “Bulut kimliğinin ve erişim yönetimi teknolojilerinin merkezi doğası, bir kısayoldan daha az pozlama fırsatı sağlayabilir. Saldırganlar, bulut hizmetleri ve daha sonra sosyal mühendislik kurumsal yardım masası ekiplerini şifreleri yeniden ayarlamak ve yeni multifaktör kimlik doğrulaması kaydetmek için kullanıcı kimlik bilgilerini hedefliyor” dedi.
Veri hırsızlığı, 2024’te maniant’ın yanıt verdiği bulut olaylarının üçte ikisinde birincil hedefti. Saldırıların% 38’inde finansal hırsızlık nedendi.
Bulut altyapısını hedefleyen gruplar arasında Google’ın UNC3944 olarak izlediği finansal olarak motive olmuş bir tehdit grubudur. 0ktapus ve dağınık örümcek olarak da bilinen grup, kurbanlarını hedeflemek için sosyal mühendislik taktiklerine güveniyor. Bunlar, ayrıcalıklı hesaplar da dahil olmak üzere şifreleri ve çok faktörlü kimlik doğrulamasını sıfırlamak için hizmet masalarını çağırmayı içeriyordu (bkz:: Tutuklamalar Squash Spider’ın Siber Saldırı Saldırısı’nı dağacak mı?).
Erişim kazandıktan sonra, bilgisayar korsanları, bir SSO örneğine bağlı her başvuruya tehlikeye atılmış bir hesap atayarak tek oturum açma çözümlerinden yararlandı ve bu da tehdit oyuncunun, şirket içi altyapıdan bulut ve SaaS uygulamalarına saldırı ölçeğini genişletmesine izin verdi.
Mantiant, “En az bir durumda, UNC3944, bir kuruluşun sanallaştırılmış ortamını şifrelemek için Ranshomhub fidye yazılımı kullandı. UNC3944 ayrıca, hedeflenen ortamdaki bulutla barındırılan veri kaynaklarından dış saldırgana ait bulut depolama kaynaklarına taşıma bulut senkronizasyon yardımcı programlarını kötüye kullandı.” Dedi.
Mantiant, fidye yazılımlarının küresel olarak en yaygın siber suç olmaya devam ederken, hackerlar geçen yıl bulut ve diğer kimlik bilgisi hırsızlığı için sık sık bilgi stealer’ları konuşlandırdı.
UNC5537 olarak bir grup maniant izler, bir kar tanesi müşterisine ait verilere erişmek için muhtemelen bilgi stealer’ları aracılığıyla elde edilen çalıntı kimlik bilgilerini kullandı. Bilgisayar korsanları verileri sunmak için döndü ve hedeflenen kuruluşları zorla çıkarmaya veya verileri siber suç forumlarında satmaya çalıştı.
Mantiant tarafından kaydedilen başka bir durumda, triplestrength adlı bir tehdit grubunun rutin olarak tehlikeye atılmış Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud ve Dijital Ocean Access’i sattığı gözlendi.
İran tehdit grubu olan APT42, kimlik bilgisi hırsızlığı amaçlı sahte bir giriş kampanyasının bir parçası olarak Google Siteleri ve Dropbox gibi bulut tabanlı platformları ve hizmetleri kullanan diğer tehdit aktörleri arasında yer alıyor.
Bulut ortamlarını güvence altına almak için Mandiant, şirketlerin donanım güvenlik anahtarları veya mobil kimlik doğrulayıcı uygulamaları gibi çok faktörlü kimlik doğrulama kullanmasını ve çerez son kullanma son kullanma ve şifre rotasyon politikalarını uygulamalarını önerir.
Şirket ayrıca ağ kısıtlamalarının kimlik doğrulamasına ve uygulanmasına izin verilen hesapların sınırlandırılmasını önermektedir.