CISA, kötü amaçlı RDP dosyalarını kullanarak hedef odaklı kimlik avı kampanyası başlatan yabancı tehdit grubu konusunda uyardı

   Kasım 1, 2024  Posted in CyberSecurityDive


Dalış Özeti:

  • Siber Güvenlik ve Altyapı Güvenliği Ajansı Perşembe günü yaptığı açıklamada, yabancı bir tehdit aktörüne dair birden fazla rapor alındı Kötü amaçlı uzak masaüstü protokol dosyalarını kullanarak geniş çaplı bir hedef odaklı kimlik avı kampanyasıyla devlet ve BT şirketlerini hedef alıyor.
  • Microsoft Tehdit İstihbaratı Salı günü yayınlanan bir raporda hedef odaklı kimlik avı kampanyasını Midnight Blizzard’a bağladı ve binlerce hedefe e-posta gönderildiği konusunda uyarıda bulundu. E-postalar, diğerlerinin yanı sıra hükümet, savunma ve akademideki 100’den fazla kuruluşa gönderildi ve bazı durumlarda güvenilirlik sağlamak için Microsoft çalışanlarının kimliğine büründü.
  • AWS, APT29 olarak da bilinen ve APT29’a bağlı tehdit grubu tarafından kötüye kullanılan internet alan adlarını belirledi. Rusya’nın Dış İstihbarat ServisiCJ Moses, Amazon’un CISO’su ve güvenlik mühendisliği başkan yardımcısı geçen hafta bir yazıda yazmıştım. Moses, kimlik avı kampanyasının Ukrayna’da başlatıldığını ve Rus rakiplerin kimlik bilgilerini çalmayı amaçladığını söyledi.

Dalış Bilgisi:

Microsoft araştırmacıları, hedef odaklı kimlik avı saldırılarını ilk kez 22 Ekim’de gözlemledi; düzinelerce ülkeyi hedef alan bu saldırılar çoğunlukla Birleşik Krallık, Avrupa, Japonya ve Avustralya’ya odaklandı.

RDP ekleri hedeflenen kurbanın güvenliğini ihlal ettiğinde, tehdit aktörü tarafından kontrol edilen bir sunucuya bağlantı kurulup sabit diskler, pano bilgileri, yazıcılar, ses ve bağlı çevre birimleri de dahil olmak üzere hassas bilgiler açığa çıkarıldı.

CISA, kuruluşların giden RDP bağlantılarını kısıtlaması, RDP dosyalarının e-posta istemcileri ve web posta sunucuları aracılığıyla iletilmesini yasaklaması ve ayrıca RDP dosyalarının kullanıcılar tarafından yürütülmesini engellemesi gerektiği konusunda uyardı. Kuruluşlar ayrıca çok faktörlü kimlik doğrulamayı etkinleştirmeli ve FIDO belirteçleri gibi kimlik avına dayanıklı kimlik doğrulama hizmetlerini dağıtmalıdır.

Microsoft araştırmacıları, kampanyanın amacının muhtemelen istihbarat toplamak olduğunu söyledi. Tehdit grubu, Nobelium olarak bilindiği 2020 Sunburst saldırılarıyla bağlantılıydı.

Gece Yarısı Blizzard’ı daha önce Üst düzey Microsoft yöneticilerinin hesapları hacklendi bu yılın başlarında ABD’deki federal kurumlara erişim kazandı



Source link