Dalış Özeti:
- Trellix Gelişmiş Araştırma Merkezi, şifre püskürtme saldırılarının Kuzey Amerika ve Avrupa’da birden fazla sektördeki saldırganlar için ikinci ve üçüncü çeyrekte verimli sonuçlar verdiğini söyledi. Çarşamba araştırma raporu.
- Trellix, parola sprey saldırılarının saldırı yüzeyinin çok geniş olduğunu buldu. Saldırganlar genellikle Microsoft 365, Okta, Google Workspace, VPN’ler, Windows Uzak Masaüstü, AWS, Google Cloud Platform ve Microsoft Azure gibi bulut tabanlı sistemleri hedefler.
- Raporda, saldırganların altı aylık dönemde en çok eğitim, enerji ve ulaştırma kuruluşlarına yönelik şifre sprey saldırılarını hedef aldığı belirlendi.
Dalış Bilgisi:
Trellix araştırmacıları, şifre püskürtme saldırılarının tehdit grupları için yalnızca düşük kaldırma ve etkili bir kaba kuvvet saldırı yöntemi olmadığını söyledi. Bu saldırı modunun tespit edilmesi ve tehdit gruplarıyla ilişkilendirilmesi zordur çünkü bunlar genellikle geniş çapta dağıtılmış botnet’lerde arka planda ve geniş ölçekte sürekli olarak çalıştırılır.
Bu düşük tespit riski ve yüksek yatırım getirisi, saldırganlara, özellikle zayıf şifre politikalarına sahip kuruluşları veya çok faktörlü kimlik doğrulaması olmayan sistemleri hedefledikleri zaman avantaj sağlar.
Rusya bağlantılı tehdit grubu Midnight Blizzard, Microsoft’un üst düzey yöneticilerinin e-posta hesaplarında kendine yer edindi Geçen yıl, bir parola sprey saldırısı yoluyla eski, üretim dışı bir test kiracısı hesabının güvenliğini ihlal ettikten sonra.
Midnight Blizzard bu erişimi Microsoft yönetici e-postalarını ve diğer belgelerini çalmak için kullandı. Parola spreyi saldırısı Kasım ayı sonlarında başladı ve Microsoft, saldırıyı 12 Ocak’a kadar fark edemedi.
Trellix araştırmacıları raporda, tehdit gruplarının kullanıcı adlarını aldıktan veya kullanıcı adı adlandırma kalıplarını çıkardıktan ve bu verileri bir çalışan listesiyle ilişkilendirdikten sonra şifre sprey saldırılarıyla kuruluşları hedef alabileceğini söyledi.
Raporda, bu hesap kimlikleriyle saldırganların birden fazla “proxy veya VPN düğümü” kullanarak her hesapta uzun bir süre boyunca sürekli olarak geniş bir şifre listesi deneyebileceği belirtildi.
MFA, rutin olarak kimlik temelli saldırılara karşı bir önleme tedbiri olarak gösterilmektedir. Ancak Trellix, saldırganların MFA’yı sosyal mühendislikle atlamaya devam etmesini beklediğini söyledi.
Raporda “Muhtemelen şifre sprey saldırılarını daha verimli, kaçınılabilir ve uyarlanabilir hale getiren daha otomatik, yapay zeka odaklı/destekli yöntemler göreceğiz” denildi.