Yeni bir rapora göre, Asya-Pasifik (APAC) bölgesinde işletmeleri hedef alan siber saldırıların sayısında hızlı bir artış görülüyor.
Barracuda’nın SOC Tehdit Radarı raporuna göre tehdit aktörleri, savunmasız VPN altyapısına ve Microsoft 365 hesaplarına karşı çabalarını yoğunlaştırıyor ve saldırıları gizlice başlatmak için Python komut dosyalarını kullanıyor.
Özellikle Akira fidye yazılımı grubu, güncel olmayan veya yanlış yama uygulanmış sistemlerden hız ve hassasiyetle yararlanarak büyümesini hızlandırdı.
Akira, SonicWall VPN Güvenlik Açıklarından Yararlanıyor
Akira grubunun SonicWall VPN cihazlarında bilinen bir güvenlik açığı olan CVE-2024-40766’dan yararlandığı bildiriliyor. Her ne kadar bu güvenlik açığı aylar önce yamalanmış olsa da birçok kuruluş yama sonrası güncellemeyi uygulayamadı veya kimlik bilgilerini sıfırlamadı. Bu gözetimin maliyetli olduğu kanıtlanıyor.
Pek çok olayda saldırganlar, tek seferlik şifreleri (OTP’ler) ele geçirmek için çalıntı kimlik bilgilerini (muhtemelen yamalar uygulanmadan önce toplanmış) kullandılar ve bu da onların yamalı sistemlerde bile çok faktörlü kimlik doğrulamayı (MFA) atlamalarına olanak sağladı. Saldırganlar, MFA korumalarından tamamen kaçmalarına olanak tanıyan geçerli oturum açma jetonları oluşturur.
Barracuda bu tehdide ilişkin ilk olarak Ağustos 2020’de bir güvenlik tavsiyesi yayınladı. Farkındalığa rağmen saldırılar, özellikle Avustralya ve diğer APAC ülkelerinde istikrarlı bir hızda devam ediyor. Araştırmacılar, Akira’nın ilk enfeksiyondan dosya şifrelemeye hızla geçebileceğini vurguluyor. Ayrıca Akira’nın meşru uzaktan izleme ve yönetim (RMM) araçlarını kullanarak güvenlik yazılımını ve yedekleme sistemlerini devre dışı bırakarak kurtarma çabalarını etkili bir şekilde sabote ettiğini de gözlemlediler.
Riski Artıran Koşullar
Kuruluşlar aşağıdaki durumlarda özellikle savunmasızdır:
- En son SonicWall VPN yamasını uygulamadınız
- Yama sonrasında şifreler sıfırlanamadı
- Eski, kullanılmayan veya eski hesapları koruyun
- Döndürülmemiş kimlik bilgilerine sahip yüksek erişimli hizmet hesaplarını kullanın
Önerilen karşı önlemler şunları içerir:
- Yama uygulanmamış VPN’leri tespit etmek için güvenlik açığı taramaları çalıştırma
- SonicOS 7.3.0 veya sonraki bir sürüme yükseltme
- VPN ile ilgili tüm kimlik bilgilerini sıfırlama
- Kullanılmayan veya eski hesapları kaldırma
- VPN erişimini IP adresine göre kısıtlama
- Özellikle yabancı ülkelerden veya hizmet sağlayıcılardan gelen olağandışı oturum açma etkinliklerinin izlenmesi
Rapor, “Kimlik bilgilerinizin veya OTP’lerinizin açığa çıkma ihtimalinin olduğunu düşünüyorsanız hızlı davranın” uyarısında bulunuyor. “Tüm şifreleri sıfırlayın, FIDO2 güvenlik anahtarları gibi kimlik avına karşı dayanıklı MFA’ya geçin ve düzensiz erişim kalıpları için VPN günlüklerini kontrol edin.”
Kötü Amaçlı Python Komut Dosyaları Tespitten Kaçıyor
Raporda vurgulanan bir diğer endişe verici eğilim, korsanlık araçlarını radar altında dağıtmak için Python komut dosyalarının giderek daha fazla kullanılmasıdır. Barracuda’nın güvenlik operasyon merkezi (SOC) analistleri, saldırganların kimlik bilgisi doldurmayı otomatikleştirdiğini, Mimikatz (şifreleri çalmak için bir araç) kullandığını ve PowerShell’i kötüye kullandığını ve bunların hepsinin Python programları aracılığıyla yapıldığını gördü.
Python kullanımı tehdit aktörlerinin şunları yapmasına olanak tanır:
- Saldırıları otomatikleştirerek hızlarını ve verimliliklerini artırın
- Kötü amaçlı süreçleri meşru etkinlik olarak gizleyin
- Güvenlik açıklarını tararken veri sızması gibi birden fazla işlemi aynı anda yürütün
Bu düzeydeki otomasyon, manuel yürütme ihtiyacını azaltarak geleneksel güvenlik araçlarının kötü amaçlı eylemleri zamanında tespit etmesini zorlaştırır.
Komut Dosyasına Dayalı Saldırıları Azaltmaya Yönelik Öneriler
Kuruluşlara şu çağrılar yapılıyor:
- Python tabanlı tehditleri tespit edebilen uç nokta koruma araçlarını dağıtın
- Yazılım ve işletim sistemlerini düzenli olarak güncelleyin
- Katı şifre politikaları ve tutarlı MFA kullanımını zorunlu kılın
- Personele sürekli siber güvenlik farkındalığı eğitimi sağlayın
Hedeflenen Microsoft 365 Hesapları
Belirlenen üçüncü önemli endişe ise, özellikle yaklaşık 150.000 kuruluşun platformu kullandığı Avustralya’da Microsoft 365 hesaplarını hedef alan olağandışı oturum açma etkinliklerindeki ani artıştır. Bu şüpheli oturum açma işlemleri genellikle beklenmeyen konumlardan, cihazlardan veya saat dilimlerinden kaynaklanmaktadır; bu da kimlik bilgilerinin ele geçirildiğinin açık bir göstergesidir.
Microsoft 365’in çekiciliği, yaygın kullanımında ve iş iş akışlarına derinlemesine entegrasyonunda yatmaktadır. Saldırganlar bir kullanıcı hesabına erişim sağladıktan sonra şunları yapabilirler:
- Kimlik bilgilerini diğer siber suçlulara (örneğin ilk erişim aracılarına) satabilirsiniz
- Kuruluşun ağı içinde yanlara doğru hareket edin
- E-postalar, dosyalar ve iletişimler gibi hassas verileri çalın
- Daha fazla saldırı gerçekleştirmek için ele geçirilen hesaplardan kötü amaçlı e-postalar gönderin
Güvenlik Açığı Belirtileri ve Azaltma Adımları
Kuruluşlar aşağıdaki durumlarda yüksek riskle karşı karşıya kalır:
- Finans, İK veya BT personelini web sitelerinde herkese açık olarak listeleyin
- Güçlü şifre politikaları veya MFA’yı zorunlu kılmayın
- Anormal oturum açma davranışının izlenmemesi
- Çalışanları kimlik avı ve kimlik bilgileri hırsızlığı konusunda eğitmemek
Barracuda, Microsoft 365 hesabının ele geçirilmesine karşı savunma sağlamak için şunları öneriyor:
- Tüm kullanıcılar için MFA’yı etkinleştirme
- İzinleri ve erişim düzeylerini sınırlama
- Yüksek riskli konumlardan veya bilinmeyen cihazlardan erişimin engellenmesi
- Bulut güvenliği izleme araçlarını yükleme
- Düzenli güvenlik eğitimi ve oturum açma modeli analizinin yapılması