Microsoft tehdit araştırmacıları, ABD ve Birleşik Arap Emirlikleri’ndeki uydu, iletişim, petrol ve gaz ve kamu sektörlerindeki hedeflere karşı kullanılan Tickler adlı yeni, özelleştirilmiş, çok aşamalı bir arka kapı kötü amaçlı yazılımının ortaya çıkmasını izledikten sonra yeni bir uyarı yayınladı.
Tickler’ın, Microsoft Threat Intelligence’ın Şeftali Kum Fırtınası (diğer adıyla APT33) olarak adlandırdığı, İran destekli bir gelişmiş sürekli tehdit (APT) aktörü tarafından kullanıldığı anlaşılıyor. Bu grup muhtemelen İran Devrim Muhafızları Ordusu (IGRC) adına faaliyet gösteren bir siber birim. IGRC bağlantılı bir diğer grup olan Mint Sandstorm’un (diğer adıyla Charming Kitten), Donald Trump’ın seçim kampanyasına düzenlenen son saldırının arkasında olduğundan şüpheleniliyor.
Kötü amaçlı yazılım bu yılın başlarında dağıtıldı ve kullanımı Peach Sandstorm’un saldırı metodolojisinin çeşitlendirilmesini temsil ediyor.
Microsoft araştırma ekibi, “Microsoft, parola püskürtme saldırıları veya sosyal mühendislik yoluyla yapılan ilk erişimin ardından yeni taktikler, teknikler ve prosedürler (TTP’ler) gözlemledi” diye yazdı.
“Peach Sandstorm, Nisan ve Temmuz 2024 arasında yeni bir özel çok aşamalı arka kapı olan Tickler’ı dağıttı ve komuta ve kontrol (C2) için sahte, saldırganların kontrolündeki Azure aboneliklerinde barındırılan Azure altyapısını kullandı.
“Microsoft, hizmet şartlarımıza uyumu sağlamak için Azure’u ve tüm Microsoft ürün ve hizmetlerini sürekli olarak izliyor. Microsoft, etkilenen kuruluşları bilgilendirdi ve bu etkinlikle ilişkili sahte Azure altyapısını ve hesaplarını bozdu,” dediler.
Peach Sandstorm, hedeflerine karşı başarılı şifre püskürtme saldırıları düzenlemesiyle biliniyordu ve genellikle LinkedIn üzerinden ilgi çekici kişileri araştırıyordu.
Geliştirilmiş saldırı zinciri hala parola püskürtme tekniğini kullanıyor, ancak Tickler kampanyasında bu, eğitim sektöründeki kuruluşlara erişmek ve önemli hesapları ele geçirmek için kullanıldı. Peach Sandstorm daha sonra ele geçirdiği hesapları mevcut Azure aboneliklerine erişmek veya bunları oluşturmak için kullandı. Daha sonra yasadışı olarak edinilen Azure altyapısını C2 olarak veya çoğunlukla savunma, hükümet ve uzay sektörlerindeki diğer hedeflere atlamak için kullandı.
Microsoft, Azure’a gelen son güvenlik güncellemelerinin bu hesapları bu tür taktiklere karşı daha dirençli hale getirmesi gerektiğini ancak bunun bu saldırıyı önlemek için yeterli olmadığı görüşünde.
Tickler ne iş yapar?
Tickler, Peach Sandstorm’un hedef ağlarda yer edinmesini sağlayarak bu tedarik sürecinde önemli bir rol oynamak üzere tasarlandı.
Microsoft şimdiye kadar iki farklı Tickler örneği tanımladı. Bunlardan ilki, ana bilgisayar sisteminden ağ bilgilerini toplamak ve bunu bir HTTP POST isteği aracılığıyla C2 Uniform Resource Identifier’a (URI) göndermek için kullanılır. Bu muhtemelen Peach Sandstorm’un tehlikeye atılmış ağda yön bulmasına yardımcı olur.
İkinci yineleme, C2 sunucusundan yükleri indirmek için Truva atı bırakma işlevi ekleyerek ilkini geliştiriyor; buna bir arka kapı, arka kapı için kalıcılığı etkinleştiren bir toplu iş betiği ve dinamik bağlantı kitaplığı (DLL) yan yüklemesi için kullanılan bazı meşru dosyalar da dahil.
Microsoft, Peach Sandstorm’un çeşitli nihai hedeflere sahip bu şekilde birçok kuruluşu tehlikeye attığını söyledi. Bu hedefler arasında yatay hareket etmek ve kontrolü artırmak için Sunucu İleti Bloğu’nun (SMB) kullanılması, hedeflerini gözetlemek için uzaktan izleme ve yönetim (RMM) araçlarının indirilmesi ve kurulması ve daha sonraki saldırılarda kullanılmak üzere Active Directory (AD) anlık görüntüleri alınması yer alıyor.
Şeftaliyi yen
Microsoft’un yazısı, risk altındaki kuruluşlardaki savunucuların artık atması gereken birkaç adımı ortaya koydu. Bunlar şunları içerir:
- Parola püskürtme saldırılarıyla hedef alınan hesaplardaki kimlik bilgilerini sıfırlamak, oturum çerezlerini ve MFA ayarları gibi hesaplarda yapılmış olabilecek değişiklikleri iptal etmek;
- MFA ayar değişiklikleri için MFA zorluklarını etkinleştirmek ve genel olarak kimlik bilgisi hijyenini iyileştirmek (örneğin, en az ayrıcalıklı protokolleri uygulamak ve Microsoft Entra’da bulunan gelişmiş korumaları devreye sokmak);
- Azure Güvenlik Ölçütünü ve diğer en iyi uygulamaları uygulamak için buraya tıklayın.
Daha fazla rehberlik için Microsoft’a başvurabilirsiniz.