İranlı hackerlar kaba kuvvet taktikleriyle kritik altyapı kuruluşlarını hedef alıyor. Bu makale, MFA anında bombalama ve kimlik bilgileri hırsızlığı da dahil olmak üzere bu yöntemlerin tekniklerini incelemektedir. Kuruluşunuzu bu gelişmiş tehditlerden nasıl koruyacağınızı ve etkili güvenlik önlemlerini nasıl uygulayacağınızı öğrenin.
CISA, FBI, NSA ve uluslararası ortaklar tarafından yayınlanan ortak bir siber güvenlik tavsiye belgesi, kritik altyapı kuruluşlarını, ağlarını hedef alan İranlı bilgisayar korsanları konusunda uyarıyor. Bu tehdit aktörleri sağlık, kamu, BT, mühendislik ve enerji gibi çeşitli sektörlerdeki kritik altyapılara yetkisiz erişim elde ediyor.
Saldırganlar, erişim sağlamak için öncelikle birden fazla hesaptaki ortak şifre kombinasyonlarından yararlanarak şifre püskürtme gibi kaba kuvvet taktiklerine güveniyor. Ancak, ilk uzlaşma için şu anda bilinmeyen başka yöntemler de kullanıyorlar.
Uyarıya göre bilgisayar korsanları, Microsoft 365, Azure ve Citrix sistemlerine ilk erişim elde etmek için genellikle kaba kuvvet yoluyla elde edilen geçerli e-posta hesaplarını kullanıyor. Bazı durumlarda aktörler, yanlışlıkla erişimi onaylayana kadar kullanıcıları oturum açma istekleriyle bombalayarak çok faktörlü kimlik doğrulamadaki (MFA) güvenlik açıklarından yararlanıyor. Bu tekniğe “MFA yorgunluğu” veya “itme bombalaması” adı verilir.
Doğrulanan iki vakada saldırganlar, güvenliği ihlal edilmiş bir kullanıcının açık MFA kaydını ve halka açık bir Active Directory Federasyon Hizmeti’ne bağlı bir self servis parola sıfırlama aracını istismar etti. Bu tehdit aktörleri, ilk erişim elde etmek için süresi dolmuş şifrelerden veya güvenliği ihlal edilmiş hesaplardan da yararlanabilir.
Kimlik Bilgisi Hırsızlığı ve Kalıcılığın Korunması:
İranlı aktörler ağa girdikten sonra kalıcı erişimi sürdürmek için adımlar atıyor. Bu genellikle meşru kullanıcının şifresi değiştirilse bile erişimi sürdürmek için güvenliği ihlal edilmiş hesapları kullanarak kendi cihazlarını MFA’ya kaydetmeyi içerir.
Ek olarak, ağ içinde yanal olarak hareket etmek için Uzak Masaüstü Protokolü (RDP) gibi tekniklerden yararlanarak ek kaynaklara erişmelerine ve potansiyel olarak ayrıcalıkları yükseltmelerine olanak tanırlar.
Saldırganlar ağdaki ek kimlik bilgilerini çalmak için çeşitli yöntemler kullanır. Bu, kimlik bilgilerini toplamak için açık kaynaklı araçların kullanılmasını veya Active Directory bilgilerine erişmek için güvenlik açıklarından yararlanılmasını içerebilir. Ayrıca ayrıcalıkları artırmaya çalışabilirler ve potansiyel olarak onlara sistem içinde daha yüksek düzeyde kontrol sağlayabilirler. Bu onların kritik sistemleri manipüle etmelerine veya bozmalarına olanak tanıyabilir.
Toprak Dışında Yaşamak (LOTL):
İranlı tehdit aktörleri, ağ hakkında bilgi toplamak ve değerli hedefleri belirlemek için meşru sistem araçlarından ve tekniklerinden yararlanıyor. “Araziden geçinmek” olarak bilinen bu yaklaşım, meşru kullanıcı olarak görünerek tespit edilmekten kurtulmalarına olanak tanıyor.
Aktörler, etki alanı denetleyicileri, güvenilen etki alanları ve kullanıcı hesapları hakkında bilgi toplamak için çeşitli Windows komut satırı araçlarını kullanabilir. Ayrıca, ağ aygıtları hakkında ayrıntılı bilgi almak amacıyla Active Directory’de arama yapmak için belirli sorguları kullanabilirler.
SafeBreach’in CISO’su Avishai Avivi, İranlı siber aktörlere yönelik CISA uyarısının, özellikle siber güvenlik farkındalık ayı sırasında “MFA Tükenmesi”nin kötüye kullanılması konusunda zamanında bir hatırlatma olduğunu vurguluyor. Kötü niyetli aktörlerin, kullanıcıların MFA isteklerini akılsızca onaylayacağını umdukları konusunda uyarıyor. Saldırganlar sıklıkla çalınan kimlik bilgilerini test ettiğinden ve MFA yorgunluğundan yararlanmayı amaçladığından Avivi, kullanıcılara oturumu başlattıklarından emin olmak için her zaman MFA istemlerini doğrulamalarını tavsiye ediyor. Uyarı kritik altyapıya odaklansa da bu özen hem kişisel hem de iş hesaplarının korunması için geçerlidir.
Nihai Hedef
Bu kampanyanın temel amacının kimlik bilgileri hırsızlığı ve bilgi toplamak olduğuna inanılıyor. Erişim sağladıktan sonra kullanıcı kimlik bilgilerini ve dahili ağ bilgilerini çalabilirler. Kuruluşa veya envanterine uzaktan erişim sağlamaya ilişkin dosyaları indirebilirler. Bu bilgiler daha sonra veri sızdırma gibi daha ileri kötü amaçlı faaliyetler için kullanılabilir veya siber suç forumlarında satılabilir.
Tavsiye belgesi, kritik altyapı kuruluşlarının güçlü parola politikaları uygulamasını ve tüm kullanıcı hesapları için çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmasını ve güvenlik açıklarını önlemek için MFA ayarlarının düzenli olarak gözden geçirilmesini önermektedir.
İLGİLİ KONULAR
- Censys, İran Fox Kitten Grubunun Gizli Altyapısını Ortaya Çıkardı
- İran’ın MuddyWater APT’si BugSleep Arka Kapısıyla Suudileri ve İsraillileri Vuruyor
- İran Devlet Hackerları ABD’ye Saldırmak İçin Fidye Yazılımı Çeteleriyle İşbirliği Yapıyor
- Hollandalı Adam, İran’ın Nükleer Silahlarını Devre Dışı Bırakmak İçin Su Pompası Aracılığıyla Stuxnet’i Kullandı
- İran’ın Şeftali Kum Fırtınası Savunma Sektöründe FalseFont Arka Kapısını Kullanıyor