Bilinmeyen tehdit aktörleri, Squarespace’e kayıtlı birden fazla alan adını tehlikeye attı. 10 Temmuz 2024 civarında başlayan olay, Eylül 2023’te Google Domains’i satın almasının ardından Squarespace’e aktarılan çok sayıda alan adını etkiledi.
Squarespace, 7 Eylül 2023’te Google Domains’den tüm alan adı kayıt verilerini ve müşterileri satın aldı. Birkaç aydır devam eden bu geçiş süreci, yönetici, teknik ve faturalama kişileri dahil olmak üzere Google Domains hesaplarıyla ilişkili e-posta adreslerine göre her alan adı için otomatik olarak Squarespace hesapları oluşturulmasını içeriyordu.
Saldırı
Saldırganlar, geçiş sürecindeki güvenlik açıklarını istismar ederek Squarespace hesaplarına yetkisiz erişim elde ettiler. Erişimin kesin yöntemi henüz belirsizliğini koruyor ancak olası vektörler şunları içeriyor:
- Sızdırılan veya tekrar kullanılan şifreler: Saldırganlar daha önce ele geçirilmiş kimlik bilgilerini kullanarak hesaplara erişmiş olabilir.
- Göç sürecindeki güvenlik açıkları: Göç sırasında hesapların otomatik olarak oluşturulması güvenlik açıklarına yol açmış olabilir.
- Sosyal mühendislik: Saldırganlar, içeriden erişim elde etmek için destek çalışanlarını manipüle etmiş olabilir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Squarespace hesaplarının içine girdikten sonra, tehdit aktörleri DNS kayıtlarını ele geçirerek ayrıcalıklarını artırdı. Bu, ad sunucularını değiştirmeyi veya etki alanı trafiğini yönlendirmek ve MX kayıtlarını değiştirerek e-postaları engellemek için doğrudan DNS kayıtlarını düzenlemeyi içeriyordu. Bu, saldırganların parola sıfırlamaları gerçekleştirmesine ve ilişkili hesaplar üzerinde daha fazla kontrol elde etmesine olanak sağladı.
İhlalin, özellikle merkezi olmayan finans (DeFi) platformları üzerinde yaygın bir etkisi oldu. Etkilenen önemli kuruluşlar arasında Compound Finance, Celer Network ve Pendle Finance yer alıyor. Bu platformlar, kullanıcıları fonları ve hassas bilgileri çalmak için tasarlanmış kötü amaçlı sitelere yönlendiren DNS ele geçirmesi yaşadı.
Etkilenen Kullanıcılar İçin Öneriler
Squarespace, etkiyi azaltmak ve daha fazla yetkisiz erişimi önlemek için çeşitli öneriler yayınladı:
- İki Faktörlü Kimlik Doğrulamayı (2FA) Etkinleştir:Kullanıcılar Squarespace hesaplarına giriş yapmalı, yeni şifreler oluşturmalı ve güvenliği artırmak için 2FA’yı etkinleştirmelidir.
- Fazla Katkıda Bulunan Hesapları Kaldır: Otomatik oluşturulan hesaplar gereksiz riskler taşır ve artık ihtiyaç duyulmadığında kaldırılmalıdır.
- Google Workspace’te Bayi Erişimini Devre Dışı Bırakma: Kullanıcılar, yetkisiz yönetici kullanıcıları oluşturulmasını önlemek için bayi erişimini devre dışı bırakmalıdır.
- DNS Değişikliklerini Geri Al: DNS kayıtlarında yapılan yetkisiz değişiklikleri doğrulayın ve düzeltin.
- Gereksiz Yöneticileri Kaldır: Etki alanına yalnızca etkin ve gerekli yöneticilerin erişebildiğinden emin olun.
- Beklenmeyen Ayarları Kontrol Et: Şüpheli yapılandırmalar için tüm etki alanı ayarlarını inceleyin.
- Alan Adlarını Transfer Etmeyi Düşünün:Kullanıcılar alan adlarını Cloudflare Registrar, Amazon Route53, MarkMonitor veya CSC gibi diğer kayıt kuruluşlarına aktarmayı düşünebilirler.
Uzlaşma Göstergeleri
Güvenlik araştırmacıları, saldırıyla ilişkili belirli tehlike göstergelerini tespit ettiler:
- IP Adresleri: 185[.]196[.]9[.]29
- MX Kayıtları: mx[.]zoho[.]ben, mx2[.]zoho[.]ben, mx3[.]zoho[.]AB.
Güvenlik uzmanları, ihlalin tam kapsamını ve saldırganların kullandığı kesin yöntemleri anlamak için çalışırken, ihlale yönelik soruşturma devam ediyor. Squarespace’in güvenlik önlemlerini artırması ve etkilenen müşterilere daha sağlam destek sağlaması istendi.
Durum geliştikçe, kullanıcıların potansiyel olarak tehlikeye atılmış alan adlarıyla etkileşim kurarken son derece dikkatli olmaları ve Squarespace ve diğer ilgili otoritelerin en son güvenlik uyarılarını takip etmeleri önerilir.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo