ANY.RUN Siber Saldırısı: Çalışan E-posta Adresi Hacklendi

Önde gelen bir siber güvenlik şirketi, karmaşık bir kimlik avı saldırısının son kurbanı oldu.

Mayıs ayının sonlarında başlayan ve 18 Haziran 2024’te büyük ölçekli bir e-posta ihlaliyle sonuçlanan olay, siber güvenlik camiasında şok dalgaları yarattı.

İlk İhlal: Koyun Kılığına Girmiş Bir Kurt

Saldırı, 23 Mayıs’ta, şüphelenmeyen bir ANY.RUN satış ekibi çalışanının güvenilir bir müşteriden görünüşte zararsız bir e-posta almasıyla ortaya çıktı.

Çalışanın haberi olmadan müşterinin hesabı ele geçirilmişti ve e-postada kötü amaçlı bir bağlantı bulunuyordu.

Çalışan, kritik bir yanlış adımla, bağlantıyı korumalı alan ortamında test ederken gerçek oturum açma kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodunu sahte bir oturum açma formuna girdi.

Bu eylem, saldırganın 27 Mayıs’ta çalışanın hesabına ilk erişimini sağladı.

Kalıcılık ve Veri Sızıntısı

Saldırgan içeri girdikten sonra olağanüstü bir ısrar gösterdi. Mobil cihazlarını MFA’ya kaydettirerek ele geçirilen hesaba erişimin devam etmesini sağladılar.

Sonraki 23 gün boyunca yetkisiz kişi, çalışanın posta kutusuna defalarca erişti.

Saldırgan, 5 Haziran’da tam bir posta kutusu yedeği oluşturma potansiyeline sahip olan PerfectData Yazılımını yükleyerek faaliyetlerini artırdı.

Bu hareket, hassas verileri sızdırma niyetinin açık bir işaretiydi.

Kimlik Avı Kampanyası Başlıyor

Saldırganın ele geçirilen çalışanın hesabını kullanarak büyük ölçekli bir kimlik avı kampanyası başlatmasıyla 18 Haziran’da ihlalin tam boyutu ortaya çıktı.

Kötü amaçlı bağlantılar içeren e-postalar, ilk saldırı vektörünü taklit ederek çalışanın iletişim listesine gönderildi.

ANY.RUN’un yanıtı hızlı oldu. Yetkisiz etkinliği tespit ettikten birkaç dakika sonra şirket, ele geçirilen hesabı devre dışı bıraktı, etkilenen kimlik bilgilerini sıfırladı ve etkin oturumları iptal etti.

Ancak olay şirketin güvenlik uygulamalarına ilişkin ciddi soruları gündeme getirdi.

ANY.RUN yaptığı açıklamada ihlali kabul etti ve kısa vadeli kontrol stratejileri ve daha sağlam erişim kontrolleri ve MFA politikalarına yönelik uzun vadeli planlar dahil olmak üzere müdahale eylemlerini özetledi.

Şirket ayrıca hiçbir veri veya sistem bütünlüğünün etkilenmediğini vurguladı.

Bu olay, siber güvenlik şirketlerinin bile karmaşık saldırılara karşı bağışık olmadığının açık bir hatırlatıcısıdır.

Sıkı güvenlik protokollerinin, çalışanların eğitiminin ve gelişen siber tehditler karşısında sürekli tetikte olmanın kritik öneminin altını çiziyor.

Uzlaşma Göstergeleri

IP adresleri

• 45.61[.]169[.]4 (Sheridan, Wyoming, ABD)
• 40.83[.]133[.]199 (San Jose, Kaliforniya, ABD)
• 172.210[.]145[.]129 (Boydton, Virginia, ABD)
• 162.244[.]210[.]90 (Dallas, Teksas, ABD) – saldırıda kullanılan ana VPS, talebimiz üzerine kaldırıldı.
• 52.162[.]121[.]170 (Chicago, Illinois, ABD)
• 68.154[.]52[.]201 (Boydton, Virginia, ABD)
• 140.228[.]29[.]111 (Ada, Ohio, ABD)
• 52.170[.]144[.]110 (Washington, Virginia, ABD)

URL’ler

• https://www.dropbox[.]com/scl/fi/vimfxi3mq0fch1u232uvp/İşte-gelen-sesli-posta-bilginiz_.paper?rlkey=69qgqvpkxn3mdvydkr8cgcd83&dl=0
• https://batimnmlp[.]tıklayın/m/?cmFuZDE9Yldwa2IyRmFZa3hDVWc9PSZzdj1vMzY1XzNfbm9tJnJhbmQyPVJsQjJXbWRPZFZsTE1BPT0mdWlkPVVTRVIyMDA1MjAyNFVOSVFFVRTA2MjQwNTIwMjQyMDI0MjAyNDA1M jAy NDA2MjQmcmFuZDM9UlRGWGFUSlNkVFJ0ZWc9PQ==N0123N[EMail]
• https://www.reytorogroup[.]com/r/?cmFuZDE9YXpkcVJIbHpZa0kwVVE9PSZzdj1vMzY1XzNfbm9tJnJhbmQyPVVIb3libFEyWjA5NFNBPT0mdWlkPVVTRVIyMDA1MjAyNFVOSVFVRTA2MjQwNTIwMjQyMDI0MjAyNDA1MjAyND A2MjQmcmFuZDM9VEdscFdFSTNVVzlzZFE9PQ==N0123N%5bEMail%5d
• https:// threemanshop[.]com/jsname.js

Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free