DIB sektöründeki bir kuruluş, özel bir kötü amaçlı yazılım programı, CovalentStealer ve Impacket çerçevesi kullanan devlet tarafından finanse edilen bilgisayar korsanları tarafından ele geçirildi.
Uzlaşmanın çözülmesi yaklaşık on ay sürdü. Kuruluşun güvenliğinin birden fazla APT grubu tarafından ele geçirilmiş olması ihtimali yüksektir. Geçen Ocak ayında, faillerden bazıları, kurbanın güvenliğini ihlal ettikten sonra kurbanın Microsoft Exchange Sunucusuna erişim sağladı.
Savunma Sanayii Üs Sektörü (DIB) kuruluşları, askeri operasyonları desteklemek için gerekli olan ürün ve hizmetlerin üretimi, geliştirilmesi ve sağlanmasında yer almaktadır.
CISA, FBI ve NSA tarafından, DIB sektöründeki kritik altyapı kuruluşlarının ve kuruluşlarının önerilen tüm azaltmaları uygulaması tavsiye edilmiştir.
Özel kötü amaçlı yazılım kullanımı
Bilgisayar korsanları, HyperBro RAT’ı ve ChinaChopper web kabuğunun bir düzineden fazla örneğini kullanarak, CovalentStealer adlı özel kötü amaçlı yazılımı, açık kaynaklı bir Python kitaplığı olan Impacket’in Python sınıflarıyla birleştirdi.
Microsoft’un Exchange Server’daki dört ProxyLogon güvenlik açığı grubunu çözmek için bir acil durum güvenlik güncelleştirmesi yayınladığı dönemde, tehdit aktörleri de bunlardan yararlandı.
Aşağıda bu dört ProxyLogon güvenlik açığından bahsettik: –
- CVE-2021-26855
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
2021 yılının Ocak ayının ortalarında, bilgisayar korsanları bilinmeyen bir erişim noktası aracılığıyla kuruluşun Exchange Sunucusuna erişebildi ve sisteme yetkisiz erişim elde etti.
Tespit etme
Tespit için uzmanlar aşağıdakileri tavsiye etti: –
Günlüklerinizin olağandışı VPS’ler ve VPN bağlantıları için izlendiğinden emin olun.
Herhangi bir şüpheli etkinlik için hesabınızı izlediğinizden emin olun.
MAR-10365227-1, gözden geçirilmesi gereken YARA kurallarını içerir.
Bilgisayarınıza yetkisiz yazılım yüklenmediğinden emin olun.
Komut satırı etkinliğinin anormal veya bilinen kötü amaçlı etkinlik için izlendiğinden emin olun.
Kullanıcı hesapları, yetkisiz değişiklikler için izlenmelidir.
Hafifletmeler
Aşağıda, önerilen tüm azaltıcı önlemlerden bahsettik: –
- Ağ segmentlerini rollere ve işlevlere göre ayırmak için ağ segmentasyonu uygulanmalıdır.
- Benzer sistemleri tanımlayın ve izole edin
- Mikro segmentasyon yoluyla ayrıntılı erişim kontrolü ve politika kısıtlamaları sağlayın
- Sistemlerin güncel tutulmasını sağlamak
- Yapılandırma değişikliklerini kontrol etmek için bir süreç oluşturun
- Siber güvenlik analitiği ve görünürlük araçlarını kullanın
- Komut dosyası dillerinin uygun şekilde kullanıldığından emin olun
- Uzaktan erişim araçlarının sayısının sınırlı olduğundan emin olun
- Şifreli hizmetleri kullanarak ağ iletişimini koruyun
- Açık metin için yönetim hizmetleri devre dışı bırakılmalıdır
- Hassas verilerin ve kaynakların sıkı erişim denetimleriyle korunduğundan emin olun.
- Şüpheli bir etkinliğin gerçekleşmediğinden emin olmak için VPN girişlerine göz atın
- Yönetim hesaplarının kullanımının yakından izlendiğinden emin olun.
- Standart kullanıcı hesaplarına yükseltilmiş ayrıcalıkların atanmadığını kontrol edin
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook