Güvenlik Operasyonları
Kullanıcı Microsoft Hesabı Kimlik Bilgilerini Çalmak İçin Parola Püskürtme Kullanan Bilgisayar Korsanları
Akşaya Asokan (asokan_akshaya) •
1 Kasım 2024
Microsoft Perşembe günü, çok sayıda Çinli bilgisayar korsanlığı grubunun, parola püskürtme saldırıları gerçekleştirmek için TCP yönlendirme bağlantı noktası numarası olarak adlandırılan bir botnet kullandığı konusunda uyardı.
Ayrıca bakınız: 2024 Tehdit Avcılığı Raporu: Modern Düşmanları Zekice Alt Etmeye Yönelik İçgörüler
7777 – veya Quad7 – botnet’i ortalama 8.000 saldırıya uğramış cihazdan oluşuyor ve bunların büyük bir kısmı küçük ofislerde veya evlerde kullanıma yönelik TP-Linm yönlendiricileri. Xlogin olarak da bilinen botnet, 2023 yılında ortaya çıkmış gibi görünüyor.
Microsoft, botnet’i CovertNetwork-1658 olarak izliyor ve Perşembe günü, Storm-0940 olarak takip ettiği Çinli tehdit aktörünün, tespit ettiği şifre sprey saldırıları dalgasında belirgin bir şekilde yer aldığını söyledi.
Bazı durumlarda Storm-0940, hırsızlıkla aynı gün Quad7 botnet’i tarafından zorlanan bir kimlik bilgisi kabahati kullandı. Bilgi işlem devi, “Ehliyet altındaki kimlik bilgilerinin bu hızlı operasyonel aktarımı, CovertNetwork-1658 ve Storm-0940 operatörleri arasında yakın bir çalışma ilişkisinin muhtemel olduğunun kanıtıdır” dedi. Quad7 operatörlerinin neredeyse kesin olarak Çin’de bulunduğunu da sözlerine ekledi.
Parola püskürtme kampanyası hala aktif ve Microsoft, botnet operatörlerinin “muhtemelen değiştirilmiş parmak izleriyle yeni bir altyapı edindikleri” konusunda uyarıyor.
Güvenlik araştırmacılarının Quad7 botnet’ine daha fazla ilgi göstermesi, görünüşe göre operatörlerini son aylarda altyapılarını gizlemek için adımlar atmaya itti. Siber güvenlik firması Sekoia, Eylül ayında botnet operatörlerinin görünüşe göre Zyxel VPN uç noktalarını, Ruckus kablosuz yönlendiricilerini ve Axentra ağa bağlı depolama cihazlarını da tehlikeye attığını söyledi (bkz: Quad7 Botnet Operatörleri Hedefleri Genişletiyor, Gizliliği Hedefliyor).
Microsoft, Botnet operatörlerinin güvenliği ihlal edilmiş yönlendiricileri konusunda dikkatli olduklarını ve “hedef kuruluştaki birçok hesaba yalnızca çok az sayıda imza denemesi” gönderdiklerini söyledi. “Vakaların yaklaşık yüzde 80’inde CovertNetwork-1658, günde hesap başına yalnızca bir oturum açma girişiminde bulunuyor.”
Microsoft, bir botun ortalama ömrünün yalnızca yaklaşık 90 gün olması nedeniyle Quad7 etkinliğini izlemenin zor olabileceğini söyledi. SOHO yönlendiricilerinin bot olarak kullanılması, izlenecek merkezi bir IP adresinin olmadığı anlamına gelir ve düşük hacimli sprey saldırıları, bir IP adresinden birden fazla oturum açma girişiminin izlenmesinin botu algılayamayacağı anlamına gelir.
Storm-0940, 2021’den beri aktif ve intranetler içinde yanal hareket, proxy araçları yükleme, Truva atlarına uzaktan erişim ve tabii ki veri sızdırma gibi faaliyetler için saldırıya uğramış kimlik bilgilerini kullanıyor.
Microsoft, eski kimlik doğrulamanın devre dışı bırakılmasını ve parolasız doğrulamaya güvenilmesini önerir. Ayrıca kullanılmayan hesapların devre dışı bırakılmasını da önerir.