Yakın zamanda gerçekleşen bir karşılaşmada Akira fidye yazılımı grubu, saldırganların kurbanın sanal ortamına sızarak etki alanı kullanıcı hesaplarını ve etki alanı denetleyicilerinde depolanan parolaları içeren kritik bir dosya olan NTDS.dit dosyasını çalmasına olanak tanıyan yeni bir ayrıcalık yükseltme tekniğinden yararlandı.
Çalınan bilgiler muhtemelen onlara ağ içinde artan ayrıcalıklar kazandırdı ve potansiyel olarak yanlara doğru hareket etmelerine ve daha hızlı bir fidye yazılımı saldırısı başlatmalarına olanak tanıdı.
Mart 2023’ten bu yana faaliyet gösteren bir siber tehdit aktörü olan Akira, yama yapılmamış tek faktörlü bir VPN aracılığıyla bir tarım şirketini ihlal ettiği için zayıf VPN’lerden (ödün verilmiş kimlik bilgileri veya güvenlik açıkları) yararlanarak küresel olarak KOBİ’lerin ağlara sızmasını hedefliyor.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın
İçeri girdikten sonra, kötü amaçlı bir dosya yüklemek, bir ters kabuk yerleştirmek ve tam uzaktan erişim elde etmek için VMware vCenter sunucusundaki bir uzaktan kod yürütme güvenlik açığından (CVE-2021-21972) yararlandılar.
Akira, kurbanın VMware vCenter sunucusundaki uzaktan kod yürütme (RCE) güvenlik açığından yararlanarak “healthcheck_beat.jsp” adlı kötü amaçlı bir JSP dosyası yükledi; bu dosya muhtemelen Akira’nın saldırgan makineye ters kabuk bağlantısı kurmasına izin veren bir web kabuğu komut dosyası içeriyordu NetCat’i kullanıyorum.
Bu dayanak noktasıyla, ESXi hipervizöründe yeni bir sanal makine oluşturmak için çalınan vCenter yönetici kimlik bilgilerini kullandı ve Akira’ya, tehlikeye atılan ağ içinde daha fazla saldırı başlatması ve potansiyel olarak güvenlik araçlarının tespitinden kaçması için gizli bir ortam sağladı.
Kimlik bilgilerini çalmak ve yanal hareket elde etmek için bir etki alanı denetleyicisindeki Active Directory veritabanını (NTDS.dit) hedef aldı; bunu denetleyicinin VM’sini kapatarak, VMDK dosyalarını başka bir VM’ye kopyalayarak ve ardından NTDS.dit ve dosyalarını çıkararak başardılar. SİSTEM kovan dosyaları.
SİSTEM kovanı, NTDS.dit’te saklanan şifre karmaları için şifre çözme anahtarını sağlayarak Akira’nın şifreleri kırmasına veya karma geçiş tekniklerini kullanmasına olanak sağladı ve çalınan bu kimlik bilgileriyle ayrıcalıkları bir alan yöneticisi hesabına yükseltti ve içindeki ek sistemlerin güvenliğini tehlikeye attı. 6 saat.
S-RM’ye göre, saldırganın fidye yazılımı ikili dosyasını sunuculara teslim etmek için meşru bir yedekleme istemci işleminden (beremote.exe) yararlandığı eski altyapıyı kullanarak fidye yazılımını hedef ağa dağıttı.
Bu yöntem, güvenlik savunmalarını atladı çünkü yedekleme istemcisi zaten sistem ortamına entegre edilmiş güvenilir bir işlemdi; saldırganlar genellikle kurtarmayı önlemek için yedekleri yok etmeyi amaçladıklarından fidye yazılımı dağıtımı için uzaktan yedeklemelerden yararlanmak nadirdir.
Çin destekli UTA0178 gibi Akira fidye yazılımı, yamalanmamış güvenlik açıklarından yararlanarak ve çok faktörlü kimlik doğrulamadaki zayıflıkları hedefleyerek güvenliği atlamak, ayrıcalıkları yükseltmek ve bir ağ içinde yanal hareket etmek için gelişmiş teknikler kullanıyor.
Bu tür saldırılara karşı savunma yapmak için kuruluşların sağlam bir yama yönetim sistemi uygulaması, çok faktörlü kimlik doğrulamasını zorunlu tutması ve düzenli güvenlik değerlendirmeleri yapması gerekir; bu, saldırganların tutunmasını ve ağ üzerinde hızla yayılmasını önlemeye yardımcı olabilir.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın