Siber güvenlik uzmanları, uzlaşmış sistemlere kalıcı erişim sağlamak için yaygın olarak kullanılan bir uzaktan izleme ve yönetim (RMM) aracı olan ConnectWise Screenconnect’ten yararlanan endişe verici bir siber suçlu eğilimini belirlediler.
Tehdit aktörleri kötü amaçlı kazançlar için meşru yazılımlardan yararlanır
Sessiz Push tehdit analistleri ve diğer araştırmacılar, bu meşru yazılımın kötüye kullanılmasında bir artış gözlemlediler ve uç noktalar üzerinde yetkisiz kontrol elde etme yeteneklerinden yararlandı.
Bu taktik, saldırganların geleneksel güvenlik mekanizmalarını atlamalarına izin vererek kötü niyetli etkinlikleri meşru ağ trafiği ile harmanlıyor.
Sömürü genellikle CVE-2024-1709 ve CVE-2024-1708 gibi güvenlik açıkları ile kolaylaştırılır.
Bu kusurlar, tehdit aktörlerinin uzaktan kodu yürütmesine ve sunucu yapılandırmalarını manipüle etmesine izin veren kimlik doğrulama bypass ve yol geçiş saldırılarını sağlar.
ConnectWise’ın bu güvenlik açıklarını düzeltme çabalarına rağmen, güncellemeler derhal uygulanmazsa, şirket içi dağıtımlar yüksek risk altında kalır.
Kurşun geçirmez hosting amplifikasyon riskleri
Saldırganlar, kurbanları kötü niyetli kullanım için yapılandırılmış meşru Screenconnect ajanlarını kurmaya kandırmak için kimlik avı e -postaları, SMS mesajları ve telefon dolandırıcılığı dahil olmak üzere sofistike sosyal mühendislik teknikleri kullanıyor.
Kurulduktan sonra, bu ajanlar saldırganlara kurban sistemlerine tam erişim sağlar.
Örneğin, belirli demografik özelliklere karşı hedeflenen kampanyaları gösteren bir Sosyal Güvenlik İdaresi tahsisatı olarak gizlenmiş şüpheli bir yürütülebilir dosya keşfedildi.
Tehdit manzarasına karmaşıklık eklemek, kurşun geçirmez barındırma sağlayıcılarının kullanılmasıdır.
Bu varlıklar, sunucularında barındırılan kötü niyetli faaliyetlerle ilgili şikayetleri görmezden gelerek, siber suçlulara komut ve kontrol (C2) operasyonları için güvenli bir sığınak sunmakla ünlüdür.
Silent Push analistleri, birkaç kurşun geçirmez barındırma alanını bu screenconnect kampanyalarına bağladılar.
Black Basta ve BL00DY gibi fidye yazılımı gruplarının kötü amaçlı yazılım yüklerini dağıtmak, verileri pespiltrat ve şifreleme kurban sistemlerini kullanmak için bu güvenlik açıklarından yararlandığı gözlemlenmiştir.
Ayrıca, saldırganlar Screenconnect’i ağlardaki yanal hareket için bir arka kapı olarak kullanıyor ve Active Directory ortamları gibi kritik altyapıyı hedefliyor.
Bu tehditleri azaltmak için, siber güvenlik uzmanları aşağıdaki önlemleri önerir:
- Zamanında yama: Kuruluşlar, bilinen güvenlik açıklarını ele almak için ScreAnconnect örneklerini en son sürüme (23.9.8 veya daha yüksek) güncellemelidir.
- Geliştirilmiş izleme: RMM araçlarının anormal kullanımını tespit etmek için sağlam izleme protokolleri uygulayın.
- Kullanıcı eğitimi: Çalışanları kimlik avı denemelerini tanımaları ve şüpheli dosyaları indirmekten kaçınmak için eğitin.
- Proaktif Güvenlik Duruşu: İstismar edilmiş RMM araçlarıyla ilişkili uzlaşma göstergelerini (IOC’ler) tanımlayabilen gelişmiş tehdit algılama araçlarını benimseyin.
Screenconnect gibi meşru araçların kötüye kullanılması, güvenilir yazılımı kötü niyetli amaçlar için kullanan siber suçluların gelişen taktiklerinin altını çiziyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free