2025’in ilk yarısı boyunca, finansal motivasyona sahip tehdit aktörleri, geleneksel implant ağırlıklı yöntemleri bırakıp daha uygun maliyetli bir strateji tercih ederek izinsiz girişlere karşı yaklaşımlarını değiştirdi.
Saldırganlar, karmaşık kötü amaçlı yazılım yüklerini dağıtmak yerine, birden fazla sektördeki hedef ağlarda kalıcılık sağlamak için çalınan kimlik bilgilerinden ve geçerli hesap erişiminden yararlanıyor.
FortiGuard Olay Müdahale ekibi düzinelerce müdahaleye yanıt verdi ve saldırganların, kimlik avı kampanyaları yoluyla toplanan, İlk Erişim Aracılarından satın alınan veya şifre yeniden kullanımı ve bilgi hırsızlığı yapan kötü amaçlı yazılım dağıtımı yoluyla elde edilen, güvenliği ihlal edilmiş kimlik bilgileri yoluyla ilk erişim elde ettiği tutarlı bir modeli ortaya çıkardı.
Fortinet analistleri, saldırganların ağları tehlikeye atmak için üç temel ilk erişim tekniğinden yararlandığını tespit etti.
Harici uzaktan hizmetler, özellikle de VPN altyapısı, en yaygın giriş noktası olarak hizmet ederek, saldırganların çalıntı kimlik bilgilerini kullanarak kimlik doğrulaması yapmasına ve kurban ortamlarında yanal olarak ilerlemesine olanak tanır.
Ayrıca tehdit aktörleri, AnyDesk, Atera, Splashtop ve ScreenConnect gibi meşru uzaktan yönetim araçlarını dağıtmak için n günlük güvenlik açıklarını kullanarak halka açık uygulamalardan yararlanıyor.
Yeraltı pazarlarından satın alınan ele geçirilmiş kimlik bilgileri, kuruluşun büyüklüğüne ve coğrafi konuma bağlı olarak 100 ila 20.000 ABD Doları arasında değişmektedir; bu durum, bu yaklaşımı gelişmiş ve gelişmekte olan ekonomilerde faaliyet gösteren tehdit aktörleri için ekonomik açıdan cazip hale getirmektedir.
Yanal Hareket ve Kalıcılık Taktikleri
Fortinet araştırmacıları ağlara girdikten sonra saldırganların Uzak Masaüstü Protokolü (RDP), Sunucu Mesaj Bloğu (SMB) ve Windows Uzaktan Yönetim (WinRM) gibi yerleşik araçları kullanarak manuel, operatör odaklı yanal hareket kullandığını belirtti.
Bu manuel yaklaşım, saldırganların yasal yönetici etkinlikleriyle karışmasını sağlayarak tespit çalışmalarını önemli ölçüde karmaşık hale getirir.
.webp)
Saldırganlar, kendi uzaktan erişim araçları örneklerini yükleyerek ve yükseltilmiş hesap erişimi için Mimikatz yürütme ve Zerologon kullanımı yoluyla elde edilen ayrıcalıklı kimlik bilgilerinden yararlanarak kalıcılığı korur.
Veri sızması, RDP ve RMM arayüzünün sürükle ve bırak özellikleri aracılığıyla doğrudan dosya aktarımı yoluyla gerçekleşir ve geleneksel web tabanlı sızma yöntemleriyle karşılaştırıldığında adli yapıtlar minimum düzeyde kalır.
Gözlemlenen durumlarda, saldırganlar VPN altyapısını çok faktörlü kimlik doğrulama olmadan yapılandırarak sınırsız ağ erişimi sağladı ve fidye yazılımı dağıtımı için hipervizör altyapısının hızlı şifrelenmesini sağladı.
Bu düşük karmaşıklık ve yüksek getiri metodolojisi, finansal motivasyona sahip saldırganların uzun süreler boyunca tespit edilmeden çalışmasına olanak tanırken, genellikle kötü amaçlı yazılım merkezli izinsiz girişlerle ilişkilendirilen tespit imzalarından da kaçınır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
