Cisco’nun, iç ağından ve alan altyapısından gelen hassas kimlik bilgileri ile çevrimiçi sızdırılan önemli bir veri ihlaline kurban ettiği bildirildi.
İhlalin, karanlık web blogunda bir veri kümesi yayınlayan Kraken Fidye Yazılım Grubu ile bağlantılı olduğu iddia ediliyor.
Saldırganların sızdırılan verilerin yanında tehdit edici bir mesaj bıraktıkları ve Cisco’nun ağına uzun vadeli erişimi sürdürebileceklerini gösteriyor.
Bir siber basına göre Araştırma raporuBu veri kümesi kullanıcı adları, güvenlik tanımlayıcıları (SIDS) ve NTLM şifre karmalarını içerir ve teknoloji devinin kurumsal ortamında ciddi güvenlik riskleri oluşturur.
Sızan veriler, Mimikatz, Pwdump veya Hashdump gibi kimlik bilgisi damping araçları kullanılarak Cisco’nun Windows Active Directory ortamından çıkarılmış gibi görünüyor.
Bu araçlar yaygın olarak siber suçlular ve yerel Güvenlik İdaresi Alt Sistem Hizmeti (LSASS) belleğinde veya diğer sistem bileşenlerinde depolanan kimlik bilgilerini hasat etmek için gelişmiş Kalıcı Tehdit (APT) grupları tarafından kullanılır. Veri kümesi yapılandırılmış bir format izler:
- Kullanıcı adı ve etki alanı: Kullanıcıları ve bunlarla ilişkili alan adlarını tanımlar.
- Göreceli Tanımlayıcı (RID): Kullanıcı hesapları için benzersiz bir tanımlayıcı.
- Ntlm karma: Brute Force veya Sözlük Saldırıları ile çatlatılabilen şifrelerin karma temsili.
Meydan okulu hesaplar ayrıcalıklı yöneticiyi içerir (örneğin, Administrator:500) Hesaplar (örn., “Yönetici: 500”), normal kullanıcı hesapları, hizmet ve makine hesapları (örn., ADC-SYD-P-1$– ADC-RTP-P-2$) etki alanı denetleyicilerine ve Kerberos Bilet Geri Bilet (KRBTGT) hesabına bağlı.
NTLM karmalarının maruz kalması özellikle ilgilidir, çünkü saldırganlar bunları, geçiş veya Kerberoasting gibi teknikler aracılığıyla yetkisiz erişim ve ayrıcalık artışı için kullanabilirler.
Potansiyel etki
İhlal, saldırganların şunları yapmasına izin verebilir:
- Cisco’nun ağındaki ayrıcalıkları artırın.
- Fidye yazılımı veya diğer kötü amaçlı yükleri dağıtın.
- Sistemler boyunca yanal olarak hareket edin ve altın bilet veya gümüş bilet saldırıları gibi yöntemlerle kalıcı erişim sağlayın.
- Hassas kurumsal ve müşteri verilerini dışarı atın.
Etki alanı denetleyici kimlik bilgilerinin sızdırılan veri kümesine dahil edilmesi, saldırganların derin ağ erişimi elde etmiş olabileceğini ve Cisco altyapısının daha fazla kullanılmasını sağlayabileceğini gösterir.
Bu, organize bir siber suç grubunun veya potansiyel olarak bir ulus devlet aktörünün katılımına işaret eder. Cisco bu özel ihlali resmi olarak doğrulamamış olsa da, geçmişte benzer olaylar sosyal mühendislik, MFA yorgunluk saldırıları ve kimlik bilgisi hasadı gibi sofistike taktikleri içermiştir.
Azaltma önlemleri
Bu tür ihlalleri ele almak için siber güvenlik uzmanları:
- Zorla şifre sıfırlar: Etkilenen tüm kullanıcı ve hizmet hesapları için.
- NTLM kimlik doğrulamasını devre dışı bırakın: Mümkün olduğunda, kimlik bilgisi yeniden kullanım risklerini azaltmak için.
- Çok faktörlü kimlik doğrulama (MFA) uygulayın: Geri ihlal edilen kimlik bilgilerinin etkisini azaltmak.
- Erişim günlüklerini izleyin: Yetkisiz faaliyet ve ayrıcalık artış girişimlerini tespit etmek.
- Ağ İzlemesini Geliştirin: Daha fazla yetkisiz erişim girişimlerini tanımlamak.
Bu ihlal, kimlik temelli siber saldırıların artan yaygınlığını vurgular ve sağlam güvenlik önlemlerinin öneminin altını çizer.
Mimikatz gibi araçlar, bellek veya kayıt defteri dosyalarından hassas bilgileri çıkarma yetenekleri nedeniyle kimlik bilgisi çöpleri için saldırganlar arasında popüler kalır. Kuruluşlar, uç nokta algılama ve yanıt (EDR), güçlü şifre politikaları ve kimlik doğrulama sistemlerinin düzenli denetimleri gibi proaktif savunmaları benimseyerek uyanık kalmalıdır.
Find this Story Interesting! Follow us on Google News, LinkedIn, and X to Get More Instant Updates