Tehdit aktörleri, hedef sistem veya ağlardaki güvenlik açıklarını ve zayıflıkları belirlemek için sızma testi araçlarını kullanır.
Bu araçlar, tehdit aktörlerinin güvenlik açıklarından yararlanmasına ve yetkisiz erişim elde etmesine olanak tanıyan potansiyel saldırı vektörlerini test etmek için simüle edilmiş bir ortam sağlar.
Tehdit aktörleri, sızma testi araçlarını kullanarak yöntemlerinin etkinliğini değerlendirebilir ve saldırılarının etkisini en üst düzeye çıkaracak şekilde stratejilerini geliştirebilir.
Palo Alto Networks'ün 42. Birimindeki siber güvenlik araştırmacıları, Muddled Libra korsanlarının yönetici erişimi elde etmek için sızma testi araçlarını aktif olarak kullandığını keşfetti.
Kafası Karışık Libra Hackerları
Muddled Libra hack grubu, 2022'nin sonlarında, önceden oluşturulmuş barındırma, kolay C2 bağlantısı ve paket saldırı şablonları sunan 0ktapus kimlik avı kitiyle ortaya çıktı.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
Bu kit, düşük vasıflı saldırganların mobil kimlik doğrulama sayfalarını ucuz bir şekilde taklit ederek 100'den fazla kuruluşun kimlik bilgilerini ve MFA kodlarını toplamasını sağladı.
Daha önce 0ktapus, Scattered Spider ve Scatter Swine olarak belgelenmiş olsa da Muddled Libra, ortak bir araç seti, sosyal forum tabanlı işbirliği ve Çevik benzeri ekip yapısı kullanan ayrı bir grup olduklarını açıkladı.
Birim 42, kripto para birimini hedef alan çeşitli karmaşık tedarik zinciri saldırılarını, taktikleri uyarlayan ve kapsamlarını genişleten Muddled Libra'ya bağladı.
Birim 42, ortak taktikler nedeniyle olayları Karışık Terazi'ye bağlar.
Muddled Libra, genellikle önceki ihlallerden ve Genesis ve Russian Markets gibi veri komisyoncularından gelen derin bir hedef bilgisi gösteriyor.
Raccoon Stealer ve RedLine Stealer gibi kötü amaçlı yazılımlar, BYOD politikalarından ve hibrit çalışma kurulumlarından yararlanarak kişisel cihazlardan bilgi toplayarak veri hırsızlığı için birincil hedef oluşturur.
Muddled Libra, smishing saldırılarında SMS bağlantısının kesilmesinden yararlanarak benzer etki alanlarını kullanıyor.
Porkbun ve Namecheap aracılığıyla kısa ömürlü alanları tercih ediyorlar ve şimdi Metaregistrar'ı da ekliyorlar.
Yaygın olarak benimsenen 0ktapus kiti, vurma veya doğrudan sosyal mühendislik yoluyla hedefleme yapmak için çok az beceri gerektirir. Yardım masası aracıları, parola ve MFA sıfırlama işlemleri için temel hedeflerdir.
Erişimi sürdürmeye odaklanmak, Zoho Assist, AnyDesk ve TeamViewer gibi RMM araçlarının kötüye kullanılmasını içerir.
Bulut platformları tutunacak bir yer oluşturmaya yardımcı oluyor ancak son zamanlardaki değişiklikler, aynı sektördeki daha büyük kuruluşları hedef alan bir 'şifreleme ve gasp etme' modeline geçildiğini gösteriyor.
Muddled Libra, SharpHound, ADRecon ve Angry IP Scanner gibi yasal araçları kullanarak tutarlı keşif yöntemlerine bağlı kalıyor.
Bazen BlackCat fidye yazılımını ekleyerek veri ve kimlik bilgileri hırsızlığını hedefliyorlar. PsExec veya Impacket ile çalıştırılırlar ve kurbanın araçlarından ve RDP bağlantılarından gizlilik için yararlanılır.
Savunmadan Kaçınma Taktikleri
Aşağıda, tüm savunmadan kaçınma taktiklerinden bahsettik: –
- Antivirüs ve ana bilgisayar tabanlı güvenlik duvarlarını devre dışı bırakma
- Güvenlik duvarı profilleri silinmeye çalışılıyor
- Defans oyuncusu hariç tutmaları oluşturma
- EDR ve diğer izleme ürünlerini devre dışı bırakma veya kaldırma
- Yönetilmeyen bulut sanal makinelerini ayakta tutma
- Sanal masaüstü ortamlarında erişimi artırma
Azaltmalar
Aşağıda tüm azaltımlardan bahsettik: –
- MFA ve SSO'yu uygulayın.
- Tekrarlanan MFA hataları için güvenlik uyarısını ve hesap kilitlemeyi etkinleştirin.
- Kullanıcı farkındalığı eğitimleri düzenleyin.
- Güncellenmiş kimlik bilgileri hijyenini koruyun.
- ITDR araçlarını kullanarak kritik savunmalara erişimi izleyin ve kısıtlayın.
- Güvenlik duvarındaki anonimleştirme hizmetlerini kısıtlayın.
- Yeni Nesil Güvenlik Duvarını Kullanın.
- XDR çözümlerini uygulayın.
- Güvenlik otomasyonu için XSOAR veya XSIAM'ı kullanın.
IoC'ler
- 104.247.82[.]11
- 105.101.56[.]49
- 105.158.12[.]236
- 134.209.48[.]68
- 137.220.61[.]53
- 138.68.27[.]0
- 146.190.44[.]66
- 149.28.125[.]96
- 157.245.4[.]113
- 159.223.208[.]47
- 159.223.238[.]0
- 162.19.135[.]215
- 164.92.234[.]104
- 165.22.201[.]77
- 167.99.221[.]10
- 172.96.11[.]245
- 185.56.80[.]28
- 188.166.92[.]55
- 193.149.129[.]177
- 207.148.0[.]54
- 213.226.123[.]104
- 35.175.153[.]217
- 45.156.85[.]140
- 45.32.221[.]250
- 64.227.30[.]114
- 79.137.196[.]160
- 92.99.114[.]231
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.