Ukrayna’daki ve potansiyel olarak diğer ülkelerdeki devlet kurumlarını, sanayi kuruluşlarını ve askeri birimleri hedef alan yeni ve karmaşık bir kimlik avı kampanyası ortaya çıkarıldı.
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), 22 Ekim 2024’te silahlı Uzak Masaüstü Protokolü (RDP) yapılandırma dosyalarını içeren kötü amaçlı e-postaların toplu dağıtımı konusunda uyarıda bulunan bir uyarı yayınladı.
Amazon ve Microsoft hizmetlerinin entegrasyonu ve Sıfır Güven Mimarisinin (ZTA) uygulanmasıyla ilgili iletişim görünümüne bürünen kimlik avı e-postaları, ekli .rdp dosyalarını içeriyor.
Bu dosyalar açıldığında saldırganların sunucusuna giden bir RDP bağlantısı kurarak kurbanın bilgisayar kaynaklarına kapsamlı erişim sağlıyor.
Free Webinar on Protecting Websites & APIs From Cyber Attacks -> Join Here
CERT-UA’ya göre, kötü amaçlı RDP bağlantıları yalnızca yerel disklere, ağ kaynaklarına, yazıcılara ve diğer cihazlara erişim sağlamakla kalmıyor, aynı zamanda ele geçirilen sistemde yetkisiz programların veya komut dosyalarının çalıştırılmasına yönelik koşullar da yaratıyor.
Bu erişim düzeyi, etkilenen kuruluşlar için ciddi bir güvenlik riski oluşturur.
Kampanyanın kapsamı Ukrayna’nın ötesine uzanıyor gibi görünüyor; diğer ülkelerdeki güvenlik kuruluşları da benzer faaliyetler bildiriyor.
İlgili alan adlarının analizi, bu siber saldırılara yönelik hazırlıkların Ağustos 2024 gibi erken bir tarihte başladığını ve bunun da iyi planlanmış ve potansiyel olarak uzun vadeli bir operasyona işaret ettiğini gösteriyor.
Tehdidi azaltmak için CERT-UA çeşitli teknik önlemler önermektedir:
- E-posta ağ geçidinde .rdp dosyalarını engelleme
- Kullanıcıların .rdp dosyalarını yürütmesinin engellenmesi (gerekli istisnalar dışında)
- Mstsc.exe tarafından başlatılan RDP bağlantılarını internet kaynaklarına kısıtlayacak şekilde güvenlik duvarlarını yapılandırma
- RDP aracılığıyla kaynak yönlendirmesini yasaklamak için grup ilkelerinin uygulanması
Güvenlik ekiplerine, bu kampanyanın tanımlanan IP adresleri ve alan adlarıyla olan etkileşimler için ağ günlüklerini kontrol etmeleri önerilir.
Ek olarak CERT-UA, potansiyel tehlikeleri belirlemek için mevcut ay için 3389/TCP numaralı bağlantı noktasındaki tüm giden ağ bağlantılarının analiz edilmesini önerir.
Bu saldırı, özellikle uzaktan çalışmanın yükselişinden bu yana siber suçluların giderek daha fazla istismar ettiği bir protokol olan RDP ile ilişkili devam eden riskleri vurguluyor.
Kuruluşların, uzaktan erişim politikalarını gözden geçirmeleri ve bu tür karmaşık kimlik avı girişimlerine karşı koruma sağlamak için güçlü güvenlik önlemleri almaları tavsiye ediliyor.
Tehdit ortamı gelişmeye devam ederken, siber güvenlik uzmanları bu tür saldırılara karşı savunma sağlamak için kullanıcı eğitiminin, güçlü e-posta filtrelemenin ve kapsamlı ağ izlemenin önemini vurguluyor.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here