FBI ve CISA, VMware ESXI sunucularını Dragonforce fidye yazılımı ile şifreleme gibi son saldırı teknikleri hakkında bilgi de dahil olmak üzere dağınık örümcek tehdidi grubunda bugün güncellenmiş rehberlik yayınladı.
. danışmanlıkKanada, Avustralya ve İngiltere’den güvenlik ve kolluk kuvvetleri ile işbirliği içinde yayınlanan, üç acil eylem de dahil olmak üzere dağınık örümcek siber saldırılarına karşı korunmak için bir dizi adım önerdi:
- Düzenli olarak test edilen verilerin izole, çevrimdışı yedeklemelerini koruyun.
- Kimlik avına dirençli çok faktörlü kimlik doğrulama (MFA) uygulayın.
- Yazılım yürütmesini yönetmek ve kontrol etmek için uygulama denetimlerini uygulayın.
Dağınık örümcek saldırısı teknikleri
Son saldırı kampanyalarının arkasında olan dağınık örümcek sigorta– perakende ve diğer sektörler, bazı agresif saldırı teknikleri ile bilinmektedir.
Bunlar, çalışanlardan kimlik bilgilerini çalmak için telefon görüşmeleri veya SMS mesajları kullanarak şirket olarak poz vermeyi veya yardım masası personelini, çalışanları ilk erişimi sağlayan uzaktan erişim araçlarını çalıştırmaya yönlendirmeyi ve çalışanları çok faktörlü kimlik doğrulama için tek seferlik şifrelerini (OTP) paylaşmaya ikna etmeye dahil etti.
Son zamanlarda, dağınık örümcek aktörleri, çalışan olarak onu ikna etmek veya yardım masası personelini “hassas bilgiler sağlamaya, çalışanın şifresini sıfırlamaya ve çalışanın MFA’sını ayrı cihazlarda kontrol ettikleri bir cihaza aktarmaya” yardım etmek için poz verdi.
UNC3944 olarak da bilinen dağınık örümcek, dağınık domuz, oktapus, Octo Tempest, Storm-0875 ve çamurlu Terazi, çalışanların istemi kabul etmesini sağlamak için tekrarlanan MFA bildirim istemleri gönderdi, MFA yorgunluğu olarak bilinen bir saldırı tekniği.
Tehdit aktörleri ayrıca hücresel taşıyıcıları, telefon ve MFA istemleri üzerinde kontrol kazanmak için bir kullanıcının telefon numarasının kontrolünü ellerinde bir SIM karta aktarmaya ikna edebildiler.
FBI, ağlara erişim kazandıktan sonra bir düzine meşru Uzaktan Erişim tüneli araçlarını kullanan dağınık örümcek tehdidi aktörlerini gözlemledi, en sonuncusu Anydesk ve Teleport.sh.
Bir ağda kalıcılık oluşturulduktan sonra, eylemler arasında Active Directory’yi (AD) numaralandırmayı, kod depolarının keşfi ve söndürme, kod imzalama sertifikaları ve kaynak kodunu içeriyordu. Tehdit aktörleri ayrıca yanal hareket için hedefleri keşfetmek ve hem önceden var olan hem de aktör tarafından oluşturulan Amazon Elastik Compute Cloud (EC2) örneklerine geçmek için Amazon Web Services (AWS) Sistem Yöneticisi envanterini de etkinleştirdi.
Daha yeni faaliyetler arasında bir kuruluşun Kar tanesi Büyük miktarda veri hızını hızlı bir şekilde sunmak, “genellikle binlerce sorgu çalıştırın” ve dağıtma Dragonforce VMware ESXI sunucularını şifrelemek için hedeflenen ağlara fidye yazılımı.
Dağınık örümcek saldırılarına karşı korumak
Danışma, dağınık örümcek saldırılarına karşı korunmak için kapsamlı kontroller önerdi:
- Uzaktan erişim programlarının listelemesi ve yetkisiz uzaktan erişim ve diğer yazılımların taşınabilir sürümlerinin kurulumunu ve yürütülmesini önleme dahil olmak üzere yazılımın yürütülmesini yönetme, izleme ve kontrol etme uygulama kontrolleri.
- Yalnızca bellekte yüklü uzaktan erişim yazılımı için izleme.
- Yetkili Uzaktan Erişim Çözümlerini Kısıtlama Sadece ağ içinden Sanal Özel Ağlar (VPN’ler) veya Sanal Masaüstü Arabirimleri (VDIS) gibi onaylanmış erişim çözümleri üzerinde çalışabilmeleri.
- Ağ çevresindeki ortak uzaktan erişim yazılımı bağlantı noktalarında ve protokollerinde gelen ve giden bağlantıların engellenmesi.
- Fido/WebAuthn kimlik doğrulaması veya genel anahtar altyapısı (PKI) tabanlı MFA uygulanması.
- Belirli sayıda denemeden sonra hesap kilitlemelerini zorlayın.
Danışma ayrıca Mayıs rehberlik Dağınık örümcek bağlantılı perakende olaylarından sonra İngiltere’nin Ulusal Siber Güvenlik Merkezi’nden aşağıdakileri içeren
- Microsoft Entra ID koruması içindeki riskli girişler gibi yetkisiz hesap kötüye kullanımı için izleme.
- Etki Alanı Yöneticisi, Enterprise Yöneticisi, Bulut Yönetici Hesapları, erişimin meşru olmasını sağlamak için.
- Yardım masası parolası sıfırlama işlemlerini gözden geçirme, yardım masasının parolaları sıfırlamadan önce, “özellikle yükseltilmiş ayrıcalıklara sahip olanlar”, çalışan kimlik bilgilerini nasıl doğruladığı dahil.
- Konut aralıklarında VPN hizmetleri gibi atipik kaynaklardan gelen girişlerin izlenmesi.