Zestix olarak bilinen bir tehdit aktörü, muhtemelen ShareFile, Nextcloud ve OwnCloud örneklerini ihlal ettikten sonra düzinelerce şirketten çalınan kurumsal verileri satmayı teklif ediyor.
Siber suç istihbarat şirketi Hudson Rock’a göre ilk erişim, çalışanların cihazlarına yerleştirilen RedLine, Lumma ve Vidar gibi bilgi hırsızlığı yapan kötü amaçlı yazılımlar tarafından toplanan kimlik bilgileri aracılığıyla elde edilmiş olabilir.
Bu üç bilgi hırsızı genellikle kötü amaçlı reklam kampanyaları veya ClickFix saldırıları aracılığıyla dağıtılıyor. Bu tür kötü amaçlı yazılımlar genellikle web tarayıcıları (kimlik bilgileri, kredi kartları, kişisel bilgiler), mesajlaşma uygulamaları ve kripto para cüzdanları tarafından depolanan verileri hedefler.
Geçerli kimlik bilgilerine sahip bir tehdit aktörü, çok faktörlü kimlik doğrulama (MFA) koruması eksik olduğunda dosya paylaşım platformları gibi bir hizmete yetkisiz erişim sağlayabilir.
Bugün yayınlanan bir raporda Hudson Rock, analiz edilen çalıntı kimlik bilgilerinin bir kısmının suç veritabanlarında yıllardır mevcut olduğunu, bunun da uzun sürelerden sonra bile bunların değiştirilmediğini veya aktif oturumların geçersiz kılındığını gösterdiğini belirtiyor.
Birden fazla ihlal bildirildi
Hudson Rock, Zestix’in yer altı forumlarında ilk erişim komisyoncusu (IAB) olarak çalıştığını ve yüksek değerli kurumsal bulut platformlarına erişim sattığını söylüyor.
Siber güvenlik şirketi, saldırganların havacılık, savunma, sağlık hizmetleri, kamu hizmetleri, toplu taşıma, telekomünikasyon, hukuk, emlak ve hükümet dahil olmak üzere birçok sektördeki kuruluşlar tarafından kullanılan ShareFile, Nextcloud ve ownCloud ortamlarını ihlal ettiğini öne sürüyor.
Kaynak: Hudson Kayası
Tehdit aktörü, “özellikle kurumsal bulut URL’lerini (ShareFile, Nextcloud) arayarak” bilgi hırsızı günlüklerini ayrıştırdıktan sonra, MFA’nın etkin olmadığı durumlarda geçerli bir kullanıcı adı ve parola kullanarak dosya paylaşım hizmetlerinde oturum açar.
Hudson Rock, platformundaki bilgi hırsızlığı verilerini halka açık görseller, meta veriler ve açık kaynak bilgilerle ilişkilendirerek olası ihlal noktalarını tespit ettiğini söyledi.
Analiz edilen vakaların en az 15’inde siber güvenlik şirketi, bulut dosya paylaşım hizmetlerine yönelik çalışan kimlik bilgilerinin bilgi hırsızları tarafından toplandığını tespit etti.
Bu doğrulamanın tek taraflı olduğunu ve listelenen şirketlerin güvenlik ihlaline ilişkin kamuya açık bir onay bulunmadığını unutmamak önemlidir. Bir istisna Iberia olabilir, ancak yakın zamanda yapılan açıklamalar Hudson Rock’ın bulgularıyla bağlantılı olmayabilir.
Zestix, uçak bakım kılavuzları ve filo verilerini, savunma ve mühendislik dosyalarını, müşteri veritabanlarını, sağlık kayıtlarını, toplu taşıma şemalarını, hizmet LiDAR haritalarını, ISP ağ yapılandırmalarını, uydu proje verilerini, ERP kaynak kodunu, hükümet sözleşmelerini ve yasal belgeleri içerdiğini iddia ederek onlarca gigabayttan birkaç terabayta kadar değişen çalıntı veri hacimlerini satmayı teklif etti.
Çalındığı iddia edilen dosyaların çoğu, kuruluşları güvenlik, mahremiyet ve endüstriyel casusluk risklerine maruz bırakabilirken, açığa çıkan hükümet sözleşmeleri de ulusal güvenlik endişelerine yol açabilir.
Kaynak: Hudson Kayası
Hudson Rock, Zestix’in “Sentap” takma adı altında sattığı 30 kurbandan oluşan ek bir set buldu ancak araştırmacılar bunu aynı şekilde doğrulamadı.
Araştırmacılar, listelenen kurbanlara ek olarak, tehdit istihbaratı verilerinin, buluta maruz kalmanın, kuruluşların iyi güvenlik uygulamalarını takip etmedeki başarısızlığından kaynaklanan daha geniş, sistemik bir sorun olduğunu gösterdiğini bildiriyor.
Bazıları Deloitte, KPMG, Samsung, Honeywell ve Walmart’ta da dahil olmak üzere binlerce virüslü bilgisayar tespit ettiklerini bildirdiler.
Hudson Rock, BleepingComputer’a ShareFile’ı bilgilendirdiğini ve ayrıca Nextcloud ve OwnCloud’u doğrulanmış riskler konusunda uyararak uygun eylemi gerçekleştirebileceklerini söyledi.
MCP (Model Bağlam Protokolü), LLM’leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.