Saldırganlar, Microsoft Entra ID (eski adıyla Azure AD) hesaplarına doğru ilerlemek için Team Filtration Pentesting çerçevesini kullanıyorlar.
“Proofpoint’in araştırması, takım filtrasyonu kullanılarak simüle edilmiş müdahalelerin yaklaşık 2021’deki ilk sürümüne geri dönse de, son zamanlarda kullanımıyla ilişkili giriş girişimlerinde bir artış olduğunu gösteriyor” diye paylaşıyorlar.
“Unk_sneakystrike’ın devam eden kampanyasına atfedilen bu etkinlik artışı, Aralık 2024’te başladı ve Ocak 2025’te zirve yaptı. Şimdiye kadar yaklaşık 100 bulut kiracısında 80.000’den fazla kullanıcı hesabı [i.e., organizations] hedeflendi, bu da birden fazla hesap devralma örneğine neden oldu. ”
Saldırganlar takım filtrasyonundan nasıl yararlanır?
TeamFiltration, diğer benzer araçlar olarak saldırganlar tarafından hain yollar için kaldırılan meşru bir pentest çerçevesidir.
Şunları yapabilir:
- Hedef ortamda geçerli kullanıcı hesaplarının belirlenmesi
- Belirli bir kombinasyonun hesaba erişim sağlayıp sağlamayacağını görmek için belirlenen kullanıcı adlarını ortak şifrelerle birlikte kullanmak
- Bu ENTRA kimlik kullanıcılarının erişebileceği verileri ve dosyaları ortaya çıkarır.
- Hedef kullanıcıların onedrive’ına kötü amaçlı dosyaları yüklemek ve mevcut dosyaları kötü niyetli lookalikes ile değiştirmek (kalıcı erişim ve yanal hareketi etkinleştirmek için)
Saldırganlar, kullanıcı hesaplarının varlığını doğrulamak ve çeşitli coğrafi konumlardan şifre püskürtme saldırıları dalgaları gerçekleştirmek için geçerli bir Microsoft 365 Business Basic lisansına sahip bir Microsoft 365 kullanıcı hesabı oluşturdu ve Microsoft Teams API ve Amazon Web Hizmetleri (AWS) sunucularından yararlandı.
Bir hesabı devraldıktan sonra, saldırganlar hassas verileri eklemek için kazandıkları erişimi kullanırlar.
Entra Kimlik Hesabı Devralma Denemeleri Nasıl Kazanılır
Araştırmacılar, “UNK_SNeakyStrike’a atfedilen yetkisiz erişim girişimleri, yüksek konsantre patlamalarda ortaya çıkma eğilimindedir. Çoğu patlama, tek bir bulut ortamında çok çeşitli kullanıcıları hedefliyor, bunu tipik olarak dört ila beş gün süren sessiz dönemler.”
“Unk_sneakyStrike’ın hedefleme stratejisi, daha küçük bulut kiracılarındaki tüm kullanıcı hesaplarına yalnızca daha büyük kiracılardaki kullanıcı alt kümesine odaklanırken erişmeye çalıştıklarını gösteriyor. Bu davranış, aracın daha az arzu edilen hesapları filtrelemek için tasarlanmış gelişmiş hedef edinme özellikleriyle eşleşiyor.”
Tehdit analistleri, bu devam eden saldırılarla ilgili uzlaşma göstergelerini paylaştılar ve savunuculara kuruluşlarının bazı hesaplarının tehlikeye girip girmediğini kontrol etmelerini tavsiye ettiler.
Hesabın ayrıcalıklarına ve bir kuruluşun bulut ekosistemine nasıl entegre edildiğine bağlı olarak, tehlikeye atılmış bir Microsoft Entra ID hesabı son derece tehlikeli olabilir.
Yüksek ayrıcalıklara sahip bir hesapsa, saldırganlar herhangi bir kullanıcı için şifreleri sıfırlamak, koşullu erişim politikalarını değiştirmek, MFA veya güvenlik denetimlerini devre dışı bırakmak, denetim günlüklerini silmek ve çok daha fazlasını kullanabilir.
ENTRA ID hesapları benzersiz, güçlü şifreler ve çok faktörlü kimlik doğrulama ile güvence altına alınmalı ve girişler izlenmeli, günlüğe kaydedilmeli ve günlük regalry incelemelidir. Koşullu erişim politikaları uygulanmalı ve riskli girişleri engellemek için girinti koruması uygulanmalıdır. Kullanılmayan hesaplar devre dışı bırakılmalıdır.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!