APT Hackerları Fortinet ve ManageEngine Güvenlik Açıklarından Yararlanıyor

   Eylül 8, 2023  Posted in CyberSecurityNews


Birden Fazla APT Hacker Grubu FortiOS SSL-VPN'den Yararlanıyor ve ServiceDesk Plus Kusurlarını Yönetiyor

FortiOS SSL-VPN veri ihlallerine karşı koruma sağlarken ManageEngine ServiceDesk Plus, BT kaynakları için entegre bir yardım masası ve varlık yönetimi sunar.

Ocak 2023’ün başlarında bir Havacılık Sektörü kuruluşunda, aşağıdaki güvenlik kuruluşları IOC’lerin (güvenlik ihlali göstergeleri) varlığını keşfetti: –

  • Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA)
  • Federal Soruşturma Bürosu (FBI)
  • Siber Ulusal Görev Gücü (CNMF)

Ulus devlet APT aktörleri, Zoho ManageEngine ServiceDesk Plus aracılığıyla yetkisiz erişim için CVE-2022-47966’yı kullanırken, CVE-2022-42475, FortiOS SSL-VPN güvenlik duvarı cihazına erişmek için kullanıldı.

İlk Erişim Vektörleri

CISA, kuruluşun talebine yanıt vererek Ocak 2023’ten itibaren iki başlangıç ​​erişim vektörü aracılığıyla ağdaki ulus devlet APT aktörlerini buldu.

Aşağıda, ilk iki vektörden bahsettik: –

  • İlk Erişim Vektörü 1: CVE-2022-47966, APT aktörlerinin Zoho ManageEngine ServiceDesk Plus web sunucusu barındırma hizmetini ihlal etmesine izin verdi.
  • İlk Erişim Vektörü 2: Kuruluşun güvenlik duvarı cihazına erişmek için CVE-2022-42475 kodu APT aktörleri tarafından istismar edildi.

Bunun yanı sıra, CISA ve ortakları tarafından benzer taktikler kullanan çok sayıda APT aktörü bulundu. Tehdit aktörlerinin, erişimi genişletmek veya kötü amaçlı altyapı görevi görmek için internete bakan cihazlardaki güvenlik açıklarını sıklıkla taradığı ve bunlardan yararlandığı tespit edilmiştir; özellikle: –

  • Güvenlik duvarları
  • VPN’ler
  • Kenar ağ altyapısı

Gözlemlenen IP’ler

Aşağıda gözlemlenen tüm IP adreslerinden bahsettik: –

  • 192.142.226[.]153
  • 144.202.2[.]71
  • 207.246.105[.]240
  • 45.77.121[.]232
  • 47.90.240[.]218
  • 45.90.123[.]194
  • 154.6.91[.]26
  • 154.6.93[.]22
  • 154.6.93[.]5
  • 154.6.93[.]12
  • 154.6.93[.]32
  • 154.6.93[.]24
  • 184.170.241[.]27
  • 191.96.106[.]40
  • 102.129.145[.]232

APT Aktörlerinin Kullandığı Araçlar

Aşağıda APT Aktörlerinin kullandığı tüm araçlardan bahsettik: –

Tespit yöntemleri

Aşağıda, güvenlik analistlerinin sağladığı tüm tespit yöntemlerinden bahsettik: –

  • Yeni kullanıcı oluşturmak için günlüğe kaydetmeyi etkinleştirin.
  • Yeni oluşturulan zamanlanmış görevleri izleyin.
  • Windows hizmetlerini oluşturabilecek veya değiştirebilecek API çağrılarını izleyin.
  • Kimlik bilgisi materyaline erişmeye çalışabilecek yürütülen komutları ve bağımsız değişkenleri izleyin.
  • RDP ile ilişkili sistemlerde oturum açmış kullanıcı hesaplarını izleyin.
  • Ping’ler/taramalarla ilişkili yeni oluşturulmuş ağ bağlantılarını izleyin.
  • İnternet’e bakan sistemlerde tam bağlantı noktası taramaları (1-65535) gerçekleştirin.

Azaltmalar

Aşağıda, sağlanan tüm azaltımlardan bahsettik: –

  • Güvenlik açıklarını ve yapılandırmaları doğru şekilde yönettiğinizden emin olun.
  • Ağ bölümlendirmesi gereklidir.
  • Hesaplar, İzinler ve İş İstasyonları uygun şekilde yönetilmelidir.
  • Her zaman uzaktan erişim yazılımını güvence altına aldığınızdan emin olun.
  • Tüm zamanlanmış görevler denetlenmelidir.
  • Tüm bulguların doğrulanması gerekir.
  • Uygulama izin verilenler listelerini kullandığınızdan emin olun.
  • Tüm güvenlik kontrollerinin uygun şekilde doğrulanması gerekir.

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, ikiTterve Facebook.





Source link