Fikri mülkiyet haklarını gasp etmek amacıyla çalan kuruluşları hedef alan “LUCR-3” adlı, finansal motivasyona sahip yeni bir tehdit grubu keşfedildi. Bu tehdit aktörü Scatter Spider, Oktapus, UNC3944 ve Storm-0875’i geride bırakıyor.
LUCR-3, Yazılım, Perakende, Konaklama, İmalat ve Telekomünikasyon gibi çeşitli sektörlerdeki Fortune 2000 şirketlerini hedefliyor. Tehdit aktörü, ilk erişim için Kötü Amaçlı Yazılımlara güvenmek yerine mevcut kimlikleri kullanır.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
LUCR-3’ün Özellikleri
İlk erişimin bir parçası olarak, tehdit aktörü, istismarı için gerekli erişime sahip olacak kullanıcıyı seçmek üzere mağdurun kimliklerini araştırır.
Çoğu zaman, derin web pazarında mevcut olan kimlik bilgilerini sosyal mühendisliğe, parçalamaya veya satın almaya güveniyorlar. Kurbanların çoğunun Yöneticiler, Geliştiriciler, Mühendisler ve Güvenlik ekibi olduğu belirlendi.
Kullandıkları kimlik bilgileri, hedef ağa ve uygulamalara bağlanmak için meşrudur. Bu kimlik bilgileriyle, SIM Değiştirme, Push Yorulma, Kimlik Avı saldırıları veya içeriden gelen tehditler aracılığıyla bir sosyal mühendis erişimi satın alma gibi çeşitli teknikleri kullanarak MFA bypass’ı gerçekleştirirler. Ayrıca yeni bir cihaz kaydederek veya alternatif MFA seçenekleri ekleyerek MFA ayarlarını da değiştirirler.
R-SaaS ve R-AWS (Recon SaaS ve Recon AWS)
Üstelik bu tehdit aktörü, olağan çalışan yöntemini izleyerek kuruluşları anlamak için benzersiz bir yönteme sahiptir: SharePoint, OneDrive, bilgi uygulamaları, biletleme çözümleri ve kurban kuruluş hakkında derinlemesine bilgi sağlayan sohbet uygulamalarında bulunan belgeleri görüntüleme ve arama. . Bu yöntem SaaS uygulamaları durumunda gerçekleştirilir.
AWS söz konusu olduğunda bulut altyapısını anlamak için faturalandırma ve AWS yönetim konsolundan yararlanırlar.
Ayrıca çalıştırmak için Systems Manager’ı (SSM) kullanıyorlar AWS-GatherSoftwareEnvanteritüm EC2 bulut sunucuları ve bunlar üzerinde çalışan yazılımlar hakkında eksiksiz bilgi sağlayacaktır.
Her ortamda kalıcılık
Tehdit aktörü, ele geçirilen sistemlere kalıcı erişim sağlamak için cihaz kaydı, alternatif MFA ve güçlü kimlik doğrulama türü (6’dan itibaren) gibi önceden mevcut olan araçlara güvenir. [PhoneAppOTP] 7’ye kadar [OneWaySMS]).
AWS söz konusu olduğunda, tehdit aktörü bir kullanıcı, erişim ve oturum açma profili oluşturur (veya bir oturum açma profilini günceller). Bu tehdit aktörü hakkında sızma, çıkarma ve diğer ayrıntılar hakkında ayrıntılı bilgi sağlayan tam bir rapor Permisio tarafından yayınlandı.
Savunmadan kaçınmanın bir parçası olarak LUCR-3, GuardDuty’yi devre dışı bırakarak, günlüğe kaydetmeyi ve seri konsol erişimini durdurur. Bazı durumlarda yardım masası biletleri, kimlik doğrulama anahtarlarının oluşturulması, erişim belirteçleri ve OAuth ile ilgili e-postalar da gönderirler.
Uzlaşma Göstergeleri
| İsim | Tip |
| P0_AWS_ACCESSKEY_CREATED_1 | Uyarı |
| P0_AWS_CLOUDTRAIL_LOGGING_STOPPED_1 | Uyarı |
| P0_AWS_CLOUDTRAIL_TRAIL_DELETED_1 | Uyarı |
| P0_AWS_EC2_ROOT_USER_SSH_1 | Uyarı |
| P0_AWS_EC2_SERIAL_CONSOLE_ACCESS_ENABLED_1 | Uyarı |
| P0_AWS_GUARDDUTY_STATUS_CHANGED_1 | Uyarı |
| P0_AWS_NEW_USER_CREATED_1 | Uyarı |
| P0_AWS_S3_BROWSER_USERAGENT_1 | Uyarı |
| P0_AWS_SM_GETSECRETVALUE_CLOUDSHELL_1 | Uyarı |
| P0_AZUREAD_MFA_FACTOR_ROTATION_1 | Uyarı |
| P0_AZUREAD_MFA_FACTOR_ROTATION_BY_ADMIN_1 | Uyarı |
| P0_GIT_CLONE_ALL | Uyarı |
| P0_IDP_MFA_DEVICE_DOWNGRADE | Uyarı |
| P0_IDP_MFA_ECOSYSTEM_SWITCH | Uyarı |
| P0_IDP_MFA_EXTERNAL_EMAIL | Uyarı |
| P0_IDP_MFA_MANYUSERS_1DEVICE | Uyarı |
| P0_INTEL_LUCR3 | Uyarı |
| P0_OKTA_MFA_FACTOR_ROTATION_1 | Uyarı |
| P0_OKTA_MFA_FACTOR_ROTATION_BY_ADMIN_1 | Uyarı |
| P0_SAAS_CREDENTIAL_SEARCH | Uyarı |
Kaynak: Permisio
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.