CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı) ve MS-ISAC (Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi), bilinmeyen bir kuruluşun bir eyalet hükümet kuruluşunun ağ ortamına saldırdığını ortaklaşa açıkladı.
Bu izinsiz girişin sonucunda saldırgan, hedeflenen ağdan hassas verileri başarıyla sızdırdı. CISA ve MS-ISAC, kimliği belirsiz bir tehdit aktörünün eyalet devlet kurumunun ortamını hacklediğini ve hassas verileri çaldığını ortaya çıkardı.
Bir güvenlik ihlalinin ardından, meta veriler de dahil olmak üzere ana bilgisayar ve kullanıcı verileri gibi hassas bilgiler, bir karanlık web aracılık sitesinde kamuya açıklandı. İhlal, bilgileri içeren belgeler karanlık ağda satışa sunulduğunda fark edildi.
Ajanslar, belgelerin eski bir çalışana ait ele geçirilmiş bir hesap aracılığıyla sisteme yetkisiz erişim yoluyla elde edildiği sonucuna varmak için ek analizler gerçekleştirdi.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Tehdit Aktörü Etkinliği
Soruşturma raporlarına göre, tehdit aktörlerinin erişim alanlarını tehlikeye atılan şirket içi ağdan Azure ortamına genişletme girişiminde bulunmadığı kaydedildi. Ayrıca herhangi bir kritik sisteme yetkisiz erişim sağlamadıkları da doğrulandı.
CISA, günlükleri tespit etmek için İsimsiz Kaz Aracını kullandı; CISA’nın bu ücretsiz aracının, ağ savunucularının Microsoft Azure, Azure Active Directory (AAD) ve Microsoft 365 (M365) ortamlarındaki olası kötü amaçlı etkinlikleri tespit etmelerine yardımcı olduğu biliniyor.
Günlüklere göre saldırgan, tespit edilmekten kaçınmak için kurbanın sistemine dahili VPN aralığındaki IP adresleri aracılığıyla girmek için bilinmeyen bir sanal makine (VM) kullandı.
Saldırı, iki sanal sunucuya (SharePoint ve bir iş istasyonu) erişimi olan eski bir çalışanın kimlik bilgileri kullanılarak başlatıldı.
Saldırgan, SharePoint’ten ek oturum açma kimlik bilgileri alarak hem şirket içi hem de Azure AD sistemlerine erişim sağladı.
Ardından tehdit aktörü, kullanıcı, ana bilgisayar ve güven ilişkisi verilerini toplamak için LDAP sorguları gerçekleştirdi.
CISA ve MS-ISAC, bu riski azaltmak için tüm mevcut yönetici hesaplarının gözden geçirilmesini ve çok faktörlü kimlik doğrulamanın uygulanmasını önerir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.