0mega fidye yazılımı grubu, güvenliği ihlal edilmiş bir uç nokta kullanmaya ihtiyaç duymadan bir şirketin SharePoint Online ortamına yönelik bir şantaj saldırısını başarıyla gerçekleştirdi; bu saldırılar genellikle bu şekilde gerçekleşir. Bunun yerine tehdit grubu, adı açıklanmayan şirketin ortamına sızmak, izinleri yükseltmek ve sonunda kurbanın SharePoint kitaplıklarından hassas verileri çalmak için güvenliği zayıf bir yönetici hesabı kullanmış gibi görünüyor. Veriler, kurbanı fidye ödemeye zorlamak için kullanıldı.
Muhtemelen Türünün İlk Örneği Saldırısı
Saldırıyı keşfeden güvenlik firması Obsidian’ın kurucu ortağı ve CPO’su Glenn Chisholm, fidye yazılımı tehdidini ele almaya yönelik kurumsal çabaların çoğunun uç nokta koruma mekanizmalarına odaklanma eğiliminde olduğu için saldırı dikkati hak ediyor.
Chisholm, “Şirketler fidye yazılımı grubu saldırılarını tamamen uç nokta güvenlik yatırımları yoluyla önlemeye veya hafifletmeye çalışıyor” diyor. “Bu saldırı, uç nokta güvenliğinin yeterli olmadığını gösteriyor, çünkü artık birçok şirket SaaS uygulamalarında veri depoluyor ve bunlara erişiyor.”
Obsidian’ın gözlemlediği saldırı, 0 mega grup aktörünün, kurban kuruluşun Microsoft Global yöneticilerinden birine ait zayıf güvenlikli bir hizmet hesabı kimlik bilgilerini ele geçirmesiyle başladı. İhlal edilen hesaba yalnızca halka açık İnternet’ten erişilemiyor, aynı zamanda çok faktörlü kimlik doğrulama (MFA) etkinleştirilmemişti – çoğu güvenlik uzmanının hemfikir olduğu bir şey, özellikle ayrıcalıklı hesaplar için temel bir güvenlik gerekliliğidir.
Tehdit aktörü, güvenliği ihlal edilmiş hesabı kullanarak – biraz küstahça – “0mega” adlı bir Active Directory kullanıcısı oluşturdu ve ardından yeni hesaba ortamda tahribat yaratmak için gereken tüm izinleri vermeye devam etti. Bunlar, Genel Yönetici, SharePoint Yöneticisi, Exchange Yöneticisi ve Ekip Yöneticisi olma izinlerini içeriyordu. Ek önlem olarak, tehdit aktörü, güvenliği ihlal edilmiş yönetici kimlik bilgilerini kullanarak 0mega hesabına kuruluşun SharePoint Online ortamında sözde site koleksiyonu yönetici yetenekleri verdi ve diğer tüm mevcut yöneticileri kaldırdı.
SharePoint-speak’te bir site koleksiyonu, bir Web uygulamasında yönetimsel ayarları paylaşan ve aynı sahibi olan bir web siteleri grubudur. Site koleksiyonları, birden çok iş işlevi ve departmanı olan büyük kuruluşlarda veya çok büyük veri kümelerine sahip kuruluşlar arasında daha yaygın olma eğilimindedir.
Obsidian’ın analiz ettiği saldırıda, 0mega tehdit aktörleri, güvenliği ihlal edilmiş yönetici kimlik bilgilerini kullanarak iki saatlik bir süre içinde yaklaşık 200 yönetici hesabını kaldırdı.
Kendi kendine atanan ayrıcalıklarla donanmış olan tehdit aktörü daha sonra kuruluşun SharePoint Online kitaplıklarından yüzlerce dosyaya yardım etti ve bunları Rusya’daki bir Web barındırma şirketiyle ilişkili bir sanal özel sunucu (VPS) ana bilgisayarına gönderdi. Tehdit aktörü, hırsızlığı kolaylaştırmak için, diğer şeylerin yanı sıra, geliştiricilerin HTTP isteklerini kullanarak SharePoint kaynaklarıyla etkileşime girmesine olanak tanıyan, “sppull” adlı, halka açık bir Node.js modülü kullandı. Koruyucularının modülü tanımladığı gibi, sppull “SharePoint’ten dosya çekmek ve indirmek için basit bir istemcidir.”
Sızma tamamlandıktan sonra, saldırganlar “got” adlı başka bir node.js modülünü kullanarak kurbanın SharePoint ortamına az önce neler olduğu hakkında kuruma temelde bilgi veren binlerce metin dosyası yükledi.
Uç Nokta Ödün Vermeme
Chisholm, genellikle SaaS uygulamalarını hedef alan saldırılarda, fidye yazılımı gruplarının bir uç noktayı tehlikeye attığını ve ardından gerektiğinde yanal hareketten yararlanarak dosyaları şifrelediğini veya sızdırdığını söylüyor. “Bu durumda, saldırganlar SharePoint Online’da oturum açmak için güvenliği ihlal edilmiş kimlik bilgilerini kullandılar ve yeni oluşturulan bir hesaba yönetici ayrıcalıkları verdiler ve ardından VDSinra.ru tarafından sağlanan kiralık bir ana bilgisayardaki komut dosyalarını kullanarak bu yeni hesaptan otomatik veri sızdırma işlemi gerçekleştirdiler.” Tehdit aktörü, tüm saldırıyı bir uç noktadan ödün vermeden veya çalıştırılabilir bir fidye yazılımı kullanmadan gerçekleştirdi. “Bildiğimiz kadarıyla, bu, gerçekleşen otomatik SaaS fidye yazılımı gaspının halka açık olarak kaydedilen ilk örneğidir” diyor.
Chisholm, Obsidian’ın son altı ayda kurumsal SaaS ortamlarını hedef alan önceki iki yılın toplamından daha fazla saldırı gözlemlediğini söylüyor. Artan saldırgan ilgisinin büyük bir kısmının, kuruluşların uç nokta teknolojilerinde olduğu gibi aynı tür kontrolleri uygulamadan SaaS uygulamalarına düzenlemeye tabi, gizli ve diğer hassas bilgileri giderek daha fazla koymasından kaynaklandığını söylüyor. “Bu, kötü oyunculardan gördüğümüz en son tehdit tekniği” diyor. “Kuruluşların hazırlanmaları ve tüm SaaS ortamlarında doğru proaktif risk yönetimi araçlarına sahip olduklarından emin olmaları gerekiyor.”
Diğerleri de benzer bir eğilim gözlemlediklerini bildirdi. AppOmni’ye göre, 1 Mart 2023’ten bu yana Salesforce Topluluk Sitelerinde ve diğer SaaS uygulamalarında SaaS saldırılarında %300 artış oldu. Birincil saldırı vektörleri, aşırı konuk kullanıcı izinlerini, aşırı nesne ve alan izinlerini, MFA eksikliğini ve hassas verilere aşırı ayrıcalıklı erişimi içermektedir. Odaseva’nın geçen yıl yaptığı bir araştırma, yanıt verenlerin %48’inin kuruluşlarının önceki 12 ay içinde bir fidye yazılımı saldırısına maruz kaldığını ve saldırıların yarısından fazlasında (%51) SaaS verilerinin hedef olduğunu söyledi.