Siber suçlular, gelişmiş arama motoru optimizasyonu (SEO) zehirlenme teknikleri aracılığıyla BT yöneticilerini giderek daha fazla hedefliyor.
Saldırganlar, genellikle meşru çevrimiçi pazarlama için kullanılan SEO taktiklerinden yararlanarak, kötü amaçlı web sitelerini Google gibi platformlarda sonuçların en üstüne itmek için arama motoru sıralamalarını değiştirir.
Güvenilir araçlar olarak gizlenmiş olan bu kötü niyetli yükler, sadece veri açığa çıkması ve fidye yazılımı gibi yıkıcı sonuçları ortaya çıkarmak için meşru bir yazılım gibi görünen şeyleri indirmeye bile terbiyeli yöneticileri bile kandırıyor.
.png
)
SEO zehirlenmesi: yükselen bir tehdit
Varonis MDDR adli tıp ekip üyeleri Tom Barnea ve Simon Biggs’in son araştırmaları, SEO zehirlenmesinin kurumsal ağlara ilk erişimi kolaylaştırdığı gerçek dünya vakalarına ışık tuttu.
Dikkate değer bir olayda, bir Domain yöneticisi bilmeden bir VMware yönetimi yardımcı programı olan RV-Tools’un silahlandırılmış bir sürümünü indirdi.
Meşru yazılım normal şekilde çalışırken, gizli bir yük, Smokedham adlı PowerShell tabanlı bir .NET arka kapı kullandı ve saldırganlara sürekli erişim sağladı.
Bu arka kapı, ‘Whoami’ ve ‘SystemInfo’ gibi komutlar aracılığıyla keşifleri sağladı ve hasat edilen veriler saldırgan kontrollü bir AWS EC2 örneğine yüklendi.
Saldırganlar ayrıca ekran görüntüleri ve tuş vuruşlarını yakalamak için ‘Grabber.exe’ olarak adlandırılan bir çalışan izleme aracı olan Kickidler’i yüklediler ve uzlaşmayı daha da derinleştirdiler.
Kimlik bilgilerini toplamak için kısa bir duraklamadan sonra-tehdit aktörleri, sunucular arasında yanal hareket için uzak masaüstü protokolü (RDP) ve PSEXEC’i kullanarak, ağ taramaları yürüttü ve Kitty ve Anydesk gibi ek komut ve kontrol araçları kullanma.
Saldırı, WINSCP aracılığıyla neredeyse terabayt veri ve ESXI Server VMDK dosyalarının şifrelemesiyle sonuçlandı ve kurban organizasyonunu sakat bıraktı ve hem şifre çözme hem de veri sızıntısı önleme için fidye talepleriyle karşı karşıya kaldı.
Veri ihlallerine gizli arka kapılar
Bu çok aşamalı saldırı, bir vektör olarak SEO zehirlenmesinin karmaşıklığını vurgulamaktadır.
Saldırganlar, kötü amaçlı kodları güvenilir araç adlarına yerleştirerek ve kontrollü sitelerinin yüksek arama sıralamasından yararlanarak bir meşruiyet yanılsaması yaratırlar.
İçeri girdikten sonra, kalıcı erişim oluştururlar, 443 gibi ortak limanlar üzerinde trafiği maskelenerek tespitten kaçınırlar ve sistematik olarak görev açısından kritik varlıkları hedeflerler.
Kuruluşlar için serpinti, ciddi işbirliği içinde olan idari hesaplar genellikle hızlı veri hırsızlığı ve şifrelemeye yol açar, çift fidye mali ve itibar hasarını artırır.
Kimlik avı savunmaları geliştikçe, bu tür su kabı tarzı saldırılar daha yaygın hale geliyor ve BT uzmanlarının arama sonuçlarına verdiği güvenden yararlanıyor.
Rapora göre, bununla mücadele etmek için uzmanlar sağlam bir “derinlemesine savunma” yaklaşımı öneriyor.
Çok faktörlü kimlik doğrulama (MFA) ve alt ağ kısıtlamaları olan alan denetleyicileri gibi kritik varlıklara erişim, uç nokta algılama ve yanıt (EDR) çözümlerinin dağıtılması ve uygulama izin listesinin uygulanması bilinmeyen tehditleri engelleyebilir.
Ağ segmentasyonu, katı uzaktan erişim politikaları, URL filtreleme ve şüpheli bağlantıları doğrulamak için çalışan eğitimi de hayati önem taşır.
Varonis’in Kullanıcı ve Varlık Davranış Analizi (UEBA) gibi araçlar, anormal davranışı erken tespit edebilir ve ihlallerin patlama yarıçapını en aza indirebilir.
Siber suçlular taktiklerini geliştirdikçe, kuruluşlar veri ayrıcalıklarını proaktif olarak denetlemeli, hassas bilgileri sınıflandırmalı ve genellikle komut ve kontrol için istismar edilen bulut hizmetleriyle bağlantıları kısıtlamalıdır.
Bu tür önlemler olmadan, iyi niyetli eylemler gibi, bir kamu hizmeti kurma cascade’i felaket ihlallerine indirmek.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir