Microsoft SharePoint’teki kritik bir güvenlik açığından yararlanarak tüm etki alanını tehlikeye sokan karmaşık bir saldırı.
İki hafta boyunca tespit edilemeyen saldırı, tehdit aktörlerinin gelişen taktiklerini ve sağlam güvenlik önlemlerinin önemini ortaya koyuyor.
Saldırganlar, şirket içi bir SharePoint sunucusundaki uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2024-38094’ü kullanarak ilk erişimi elde etti. “adlı bir web kabuğunu dağıtmak için bir dizi GET ve POST isteği kullandılar”hayalet dosyası93.aspx” hedef sistemde.
Rapid7’nin Olay Müdahale ekibi, Microsoft SharePoint’te bulunan ve saldırganların uzaktan kod yürütmesine olanak tanıyan bir güvenlik açığı olan CVE 2024-38094’ün kullanılmasıyla meydana gelen ilk ihlali ortaya çıkardı.
Ağa girdikten sonra bilgisayar korsanları yanlara doğru hareket ederek etki alanı yöneticisi ayrıcalıklarına sahip bir Microsoft Exchange hizmet hesabını ele geçirdiler. Dayanaklarını genişletmek için çeşitli araç ve tekniklerden yararlandılar:
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
- Paket: Ağ protokolü etkileşimi için bu Python komut dosyaları koleksiyonunu yüklemeye ve yürütmeye çalışıldı.
- Horoung Antivirüs: Mevcut güvenlik çözümlerini devre dışı bırakmak için bu Çin AV yazılımını yükledim.
- Hızlı Ters Proxy (FRP): Güvenlik duvarları aracılığıyla harici erişimi sürdürmek için dağıtılır.
SharePoint RCE Güvenlik Açığından Yararlanıldı
Saldırganlar, ağ sızma ve kaçırma teknikleri konusunda gelişmiş bilgi birikimine sahip olduklarını gösterdi:
- Active Directory Kullanımı: AD ortamını eşlemek ve kimlik bilgilerini toplamak için ADExplorer64.exe, NTDSUtil.exe ve nxc.exe gibi araçlar kullanılır.
- Kimlik Bilgisi Toplama: Oturum açma bilgilerini çıkarmak için Mimikatz (66.exe olarak gizlenmiş) kullanıldı.
- Günlük Üzerinde Değişiklik Yapma: Sistem günlüğü devre dışı bırakıldı ve izlerini kapsayacak şekilde olay günlükleri temizlendi.
- Kalıcılık: FRP aracı için etki alanı denetleyicisinde zamanlanmış görevler oluşturuldu.
Saldırganlar iki hafta boyunca ağda tespit edilmeden kaldılar; bu süre zarfında üçüncü taraf yedeklemelerini tehlikeye atmaya çalıştılar ve Active Directory ortamında yükseltilmiş eylemler için ADFS sertifikaları oluşturmak amacıyla Certify.exe gibi ek araçlar kullandılar.
Bilgisayar korsanları ayrıca sistem günlüklerine müdahale ederek ve ele geçirilen SharePoint sunucusundaki kayıt mekanizmalarını devre dışı bırakarak izlerini gizlemeye çalıştı. Bu eylem soruşturma sürecini önemli ölçüde aksattı.
Saldırganların kullandığı dikkate değer taktiklerden biri, mevcut güvenlik ürünleriyle çakışmalara neden olan, onları etkili bir şekilde devre dışı bırakan ve saldırganlara hedeflerine ulaşma konusunda daha fazla özgürlük tanıyan Huorong AntiVirus’u kurmaktı.
Bu olay, siber güvenlik uzmanları için birkaç kritik noktaya dikkat çekiyor:
- Özellikle halka açık sunucularda bilinen güvenlik açıklarının derhal kapatılmasının önemi.
- Sürekli izleme ve hızlı olay müdahale yeteneklerine ihtiyaç vardır.
- Saldırganların, tespit edilmekten kaçınmak için meşru araçları ve yazılımları kullanma konusunda gelişen karmaşıklığı.
İlk erişim için kötüye kullanım 2024’te ortak bir tema olmaya devam ederken, kuruluşların büyük ihlal riskini azaltmak için güvenlik araçlarına ve etkili yanıt prosedürlerine öncelik vermesi gerekiyor.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!