NCC Group’un Dijital Adli Tıp ve Olay Yanıt (DFIR) ekibinin son zamanlarda yapılan bir olay müdahalesine göre, siber güvenlik uzmanları, tehdit aktörlerinin beş dakikadan kısa bir sürede kurumsal sistemleri tehlikeye atmasına izin veren sofistike bir sosyal mühendislik saldırısı üzerinde alarmlar veriyor.
Saldırı, bir kuruluş içinde yaklaşık yirmi çalışanı hedefleyen meşru BT destek personelini taklit eden tehdit aktörleriyle başladı.
Dikkatli bir şekilde hazırlanmış sosyal mühendislik taktikleri sayesinde, saldırganlar iki kullanıcıyı Windows’un yerleşik QuickAssist uzaktan destek aracını kullanarak iş istasyonlarına uzaktan erişim sağlamaya ikna ettiler.
Kurbanlar erişim sağladıktan sonra, saldırganlar endişe verici bir hız ve hassasiyetle hareket ettiler.
Uzaktan bağlantıyı kurduktan birkaç dakika sonra, hücum takımlarını indiren, kötü amaçlı yazılımları konuşlandıran ve tehlikeye atılan sistemlere kalıcı erişim sağlayan bir dizi PowerShell komutu gerçekleştirdiler.
Yıldırım hızlı sistem uzlaşması
Saldırganların metodolojisi sofistike teknik bilgi ve hazırlık gösterdi.
Meşru sistem güncellemeleri olarak gizlenmiş dosyalar da dahil olmak üzere harici sunuculardan kötü amaçlı yükler indiren PowerShell komut dosyalarını hemen yürüttüler.
Özellikle akıllı bir teknik, kötü amaçlı kodun masum bir JPEG görüntü dosyası gibi görünenlere yerleştirilmesini içeriyordu.
Kötü amaçlı yazılım dağıtımı, yetkisiz erişim için silahlandırılan meşru bir uzaktan yönetim aracı olan Netsupport Manager’ın kurulumunu içeriyordu.
Saldırganlar, kullanıcının uygulama veri klasörü içinde gizli bir dizin yapısı oluşturdu ve kötü amaçlı yazılımı sistem başlangıçta otomatik olarak yürütecek şekilde yapılandırdı.
Uzun vadeli erişimi sürdürmek için, tehdit aktörleri birden fazla kalıcılık mekanizması uyguladı.
Kullanıcılar sistemlerine her giriş yaptıklarında kötü amaçlı yazılımlarını başlatacak kayıt defteri girişleri oluşturdular.
Ayrıca, her beş dakikada bir çalışacak şekilde yapılandırılmış planlanmış görevler oluşturdular ve erişimlerinin sistem yeniden başlatmalarından ve temel güvenlik önlemlerinden kurtulmasını sağladılar.
Belki de en önemlisi, kimlik bilgisi hasat araçlarının konuşlandırılmasıydı. Saldırganlar, kullanıcıları oturum açma kimlik bilgilerini girmeye kandırmak için tasarlanmış sahte kimlik doğrulama istemleri oluşturdular ve bu da daha sonra daha sonraki koleksiyonlar için geçici dosyalar halinde saklandı.
Bu olay, sosyal mühendislik saldırılarının gelişen karmaşıklığını ve modern tehditlerin örgütsel güvenliği tehlikeye atma hızını vurgulamaktadır.
QuickAssist gibi meşru sistem araçlarının kullanılması, bu uygulamalar meşru BT destek amaçları için yaygın olarak kullanıldığından, tespiti özellikle zorlaştırır.
Güvenlik uzmanları, tehdit aktörleri insan psikolojisinin genellikle örgütsel siber güvenlikteki en zayıf bağlantıyı temsil ettiğini kabul ettikleri için bu saldırı vektörünün giderek yaygınlaştığını vurgulamaktadır.
Olay, tek bir başarılı sosyal mühendislik girişiminin kapsamlı bir sistem uzlaşmasına ne kadar hızlı yükselebileceğini gösteriyor.
Kuruluşlara uzaktan destek talepleri için ek doğrulama prosedürleri uygulamaları, çalışanlar için gelişmiş güvenlik farkındalığı eğitimi sağlamaları ve şüpheli PowerShell etkinliğini ve yetkisiz uzaktan erişim araçlarını belirleyebilen gelişmiş uç nokta algılama sistemlerini dağıtmaları tavsiye edilir.
Bu saldırının hızlı yürütme zaman çizelgesi, modern siber tehditlerin saatler veya günler değil dakikalar içinde önemli bir uzlaşma sağlayabileceğini kesin bir hatırlatma görevi görür.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir