Cisco’nun dahili ağı ve alan altyapısından duyarlı kimlik bilgilerinin önemli bir veri ihlali nedeniyle kamuya açıklandığı bildirildi.
Bir siber basına göre Araştırma raporuyeni Kraken fidye yazılımı grubunun, Windows Active Directory ortamından bir karma şifre dökümü gibi görünen karanlık web bloglarında bir veri kümesi sızdırdığı iddia ediliyor.
Kesintilen veri kümesi, etki alanı kullanıcı hesapları, benzersiz tanımlayıcılar (göreli tanımlayıcılar veya RID’ler) ve NTLM parola karmalarını içerir.
Güvenlik araştırmacıları, verilerin Mimikatz, PwDump veya Hashdump gibi kimlik bilgileri düşürme araçları kullanılarak çıkarıldığına inanıyor.
Meydan okulu veriler, teknoloji devinin kurumsal altyapısına bağlı kullanıcı adlarını, güvenlik tanımlayıcıları ve şifreli şifre karmalarını içerir.
Maruz kalan hesaplar arasında ayrıcalıklı yönetici hesapları (örn. Yönetici: 500), normal kullanıcı hesapları (örn. Cisco.com \ carriep), alan denetleyicileri ile ilişkili hizmet ve makine hesapları (örn. RTP-P-2 $) ve saldırganların kimlik doğrulama jetonlarını oluşturmasına izin verebilecek Kerberos Ticket Form bileti (KRBTGT) hesabı.
Sızan kimlik bilgilerinin biçimi, muhtemelen Mimikatz veya Hashdump gibi araçlar kullanılarak, genellikle ileri kalıcı tehdit (APT) grupları veya siber suçlular tarafından kullanılan bir kimlik bilgisi-damping tekniği ile elde edildiğini göstermektedir.
Veri kümesindeki her giriş yapılandırılmış bir format izler:
- Kullanıcı adı ve etki alanı – Kullanıcıyı ve ilişkili Active Directory etki alanını tanımlar.
- Göreceli Tanımlayıcı (RID) – Kullanıcı hesaplarına atanan benzersiz bir tanımlayıcı.
- LM Hash – Tipik olarak devre dışı bırakılır, AAD3B43B51404EAAD3B435B51404E aktif olmadığında.
- Ntlm karma – kaba kuvvet veya sözlük saldırıları kullanılarak çatlatılabilecek şifrelerin hashed temsili.
Saldırganlar, Cisco’nun sistemlerine yetkisiz erişim elde etmek için bu kimlik bilgilerinin şifresini çözebileceğinden, NTLM karmalarının maruz kalması önemli bir risk oluşturmaktadır.
Ayrıcalıklı hesap kimlik bilgileri tehlikeye atılırsa, saldırganlar ayrıcalıkları artırabilir, kritik ağ kaynaklarına erişebilir ve fidye yazılımlarını veya diğer kötü amaçlı yükleri dağıtabilir.
Etki alanı denetleyicisi (DC) hesaplarının dahil edilmesi, saldırganların derin ağ erişimi kazanmış olabileceğini ve kurumsal altyapı içinde potansiyel yanal harekete izin verebileceğini düşündürmektedir.
Siber güvenlik uzmanları, bunun Kerberoasting veya Hop-the Pass saldırıları gibi teknikleri kullanarak daha fazla ayrıcalık artışı sağlayabileceği konusunda uyarıyor.
Buna ek olarak, düşmanlar altın bilet veya gümüş bilet saldırıları yoluyla kalıcı erişim sağlayabilir ve bu da hassas kurumsal ve müşteri verilerinin ortaya çıkmasına yol açabilir.
Tehdit oyuncusu katılımı
Sızan veri kümesine eşlik etmek, saldırganlardan tehdit edici bir mesajdır ve bu da Cisco’nun ağında uzun bir süre varlığını sürdürmüş olabileceklerini gösterir.
Mesaj, organize bir siber suç grubuna veya hatta bir ulus-devlet aktörünü ima eden potansiyel bir geri dönme niyetini öneriyor.
Cisco, ihlali resmen onaylamamış olsa da, güvenlik profesyonelleri aşağıdakiler de dahil olmak üzere hemen önlemleri teşvik ediyor:
- Zorla şifre sıfırlar etkilenen kullanıcılar ve hizmet hesapları için.
- NTLM kimlik doğrulamasını devre dışı bırakma Kimlik bilgisi yeniden kullanım risklerini azaltmak için mümkün olan yerlerde.
- Çok faktörlü kimlik doğrulama (MFA) dağıtım Kimlik bilgisi uzlaşmalarının etkisini azaltmak.
- Erişim günlüklerini araştırmak Yetkisiz faaliyet ve ayrıcalık artış girişimleri için.
- İzlemeyi Geliştirme yetkisiz erişimde daha fazla denemeyi tespit etmek.
Bu ihlal, kimlik temelli siber saldırıların artan yaygınlığını ve güçlü güvenlik savunmalarına acil ihtiyaç olduğunu vurgulamaktadır.
Kuruluşlar, güçlü kimlik doğrulama politikalarını uygulayarak, ağ etkinliğini izleyerek ve proaktif siber güvenlik önlemleri uygulayarak benzer tehditlere karşı uyanık kalmalıdır.
Soruşturma devam ettikçe, siber güvenlik uzmanları, daha fazla hasarı önlemek ve daha fazla sömürüden kaynaklanan kurumsal bilgileri korumak için hızlı olay tepkisinin önemini vurgulamaktadır.
Find this Story Interesting! Follow us on Google News, LinkedIn, and X to Get More Instant Updates