İranlı bilgisayar korsanları, diğer tehdit aktörlerinin siber saldırılarına olanak sağlamak amacıyla siber suç forumlarında satılabilecek kimlik bilgilerini ve ağ verilerini toplamak için kritik altyapı kuruluşlarının ihlallerini gerçekleştiriyor.
ABD, Kanada ve Avustralya’daki devlet kurumları, İranlı bilgisayar korsanlarının ilk erişim aracısı olarak hareket ettiğine ve sağlık, kamu sağlığı (HPH), hükümet, bilgi teknolojisi, mühendislik ve enerji alanlarındaki kuruluşlara erişim sağlamak için kaba kuvvet teknikleri kullandığına inanıyor sektörler.
İran erişim komisyoncusu
Amerika Siber Savunma Ajansı (CISA) tarafından yayınlanan bir danışma belgesinde, İranlı bilgisayar korsanlarının ağları tehlikeye atmak ve ek erişim noktaları sağlayacak verileri toplamak için kullandıkları en son etkinlik ve yöntemler anlatılıyor.
Uyarı, Federal Soruşturma Bürosu (FBI), CISA, Ulusal Güvenlik Ajansı (NSA), Kanada İletişim Güvenliği Kuruluşu (CSE), Avustralya Federal Polisi (AFP) ve Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Teşkilatı tarafından ortaklaşa yazılmıştır. Güvenlik Merkezi (ASD’nin ACSC’si).
“Ekim 2023’ten bu yana İranlı aktörler, kullanıcı hesaplarını tehlikeye atmak ve kuruluşlara erişim elde etmek için şifre püskürtme ve çok faktörlü kimlik doğrulama (MFA) ‘itme bombalaması’ gibi kaba kuvvet kullanıyor” – ortak siber güvenlik danışmanlığı
Keşif aşamasından sonra tehdit aktörleri, genellikle kaba kuvvet tekniklerini kullanarak hedef ağa kalıcı erişim elde etmeyi amaçlar.
Takip faaliyetleri, daha fazla kimlik bilgisi toplamayı, ayrıcalıkları yükseltmeyi ve ihlal edilen sistemler ve ağ hakkında bilgi edinmeyi içerir; bu da onların yana doğru hareket etmesine ve diğer erişim ve istismar noktalarını belirlemesine olanak tanır.
Devlet kurumları bu tür saldırılarda kullanılan yöntemlerin tamamını keşfetmedi ancak bazı bilgisayar korsanlarının geçerli kullanıcı ve grup hesaplarına erişmek için şifre püskürtme kullandığını belirledi.
Gözlemlenen diğer bir yöntem ise, siber suçluların hedefin cep telefonunu, kullanıcı oturum açma girişimini onaylayana kadar kazara veya yalnızca bildirimleri durdurmak için bunaltmak amacıyla erişim istekleriyle bombaladığı MFA yorgunluğudur (itme bombalaması).
Uyarıya göre İranlı bilgisayar korsanları Microsoft 365, Azure ve Citrix ortamlarına ilk erişim elde etmek için henüz belirlenemeyen bazı yöntemleri de kullandı.
Tehdit aktörleri bir hesaba erişim sağladıktan sonra genellikle cihazlarını kuruluşun MFA sistemine kaydetmeye çalışır.
Onaylanan iki uzlaşmada aktörler, tehlikeye giren bir kullanıcının MFA’ya açık kaydından yararlanarak aktörün kendi cihazını ortama erişim için kaydettirdi.
Onaylanan başka bir güvenlik ihlalinde, aktörler, süresi dolmuş parolalara sahip hesapları sıfırlamak için herkese açık bir Active Directory Federasyon Hizmeti (ADFS) ile ilişkili bir self servis parola sıfırlama (SSPR) aracı kullandı ve daha sonra, MFA’nın halihazırda etkin olmadığı, güvenliği ihlal edilmiş hesaplar için Okta aracılığıyla MFA’yı kaydettirdi. .
Ağ üzerinden geçiş Uzak Masaüstü Protokolü (RDP) aracılığıyla gerçekleştirildi ve bazen gerekli ikili dosyalar Microsoft Word aracılığıyla açılan PowerShell kullanılarak dağıtıldı.
İranlı bilgisayar korsanlarının ek kimlik bilgilerini nasıl topladığı belli değil ancak bu adımın, Kerberos biletlerini çalmak veya Active Directory hesaplarını ele geçirmek için açık kaynaklı araçların yardımıyla yapıldığına inanılıyor.
Devlet kurumları, sistemdeki ayrıcalıkları yükseltmek için bilgisayar korsanlarının “muhtemelen Microsoft’un Netlogon (“Zerologon” olarak da bilinir) ayrıcalık yükseltme güvenlik açığından (CVE-2020-1472) yararlanarak etki alanı denetleyicisinin kimliğine bürünmeye çalıştığını söyledi.
Analiz edilen saldırılarda tehdit aktörü, etki alanı denetleyicileri, güvenilen etki alanları, yönetici listeleri, kurumsal yöneticiler, ağdaki bilgisayarlar, bunların açıklamaları ve işletim sistemleri hakkında ayrıntıları toplamak için sistemdeki mevcut araçlara (karadan geçinen) güveniyordu. .
Ağustos ayında yayınlanan ayrı bir danışma belgesinde ABD hükümeti, devlet destekli olduğuna inanılan İran merkezli bir tehdit aktörünün ABD’deki çeşitli kuruluşlara ait ağlara ilk erişimi elde etmeye karıştığı konusunda uyardı.
Tehdit aktörü, iletişim kanallarında Br0k3r takma adını ve ‘xplfinder’ kullanıcı adını kullandı. Raporda, “dünya çapında çok sayıda ağa tam alan adı kontrol ayrıcalıklarının yanı sıra alan adı yöneticisi kimlik bilgileri” sağladıkları belirtiliyor.
Özel sektörde Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM ve Lemon Sandstorm olarak bilinen Br0k3r, ele geçirilen kuruluşlardan (örneğin okullar, belediye yönetimleri, finans kurumları ve sağlık tesisleri).
Kaba kuvvet girişimlerini algılama
Ortak tavsiye, kuruluşların geçerli hesaplardaki başarısız oturum açma işlemleri için kimlik doğrulama günlüklerini incelemesini ve aramayı birden fazla hesaba genişletmesini öneriyor.
Bir tehdit aktörü, sanal altyapılarda güvenliği ihlal edilmiş kimlik bilgilerinden yararlanıyorsa, kuruluşların, kullanıcının tipik coğrafi konumuyla eşleşmeyen değiştirilmiş kullanıcı adları, kullanıcı aracıları veya IP adresleriyle ‘imkansız oturum açma bilgileri’ araması gerekir.
Potansiyel bir izinsiz giriş girişiminin diğer bir işareti, aynı IP’nin birden fazla hesap için kullanılması veya farklı konumlardan, kullanıcının mesafeyi kat etmesine izin vermeyecek sıklıkta IP’lerin kullanılmasıdır.
Ayrıca ajanslar şunları önermektedir:
- beklenmedik yerel ayarlarda veya tanıdık olmayan cihazlardan MFA ile MFA kayıtlarını arama
- Kimlik bilgilerinin boşaltıldığını, özellikle de bir etki alanı denetleyicisinden ntds.dit dosyasına erişme veya bu dosyayı kopyalama girişimlerini gösterebilecek süreçleri ve program yürütme komut satırı bağımsız değişkenlerini aramak
- şifreleri sıfırladıktan veya kullanıcı hesabı azaltımlarını uyguladıktan sonra şüpheli ayrıcalıklı hesap kullanımını kontrol etme
- Tipik olarak hareketsiz hesaplardaki olağandışı etkinliklerin araştırılması
- bot etkinliğini gösterebilecek, normal kullanıcı etkinliğiyle genellikle ilişkili olmayan dizeler gibi olağandışı kullanıcı aracısı dizelerinin taranması
Ortak tavsiye belgesi aynı zamanda İranlı bilgisayar korsanlarının faaliyetlerinde gözlemlenen taktiklere, tekniklere ve prosedürlere (TTP’ler) karşı bir kuruluşun güvenlik duruşunu iyileştirecek bir dizi hafifletme de sağlıyor.
Kötü amaçlı dosyalara yönelik karmalar, IP adresleri ve saldırılarda kullanılan cihazlar da dahil olmak üzere bir dizi güvenlik ihlali göstergesi danışma belgesinde mevcuttur.