Yakın zamanda keşfedilen 130.000’den fazla uzlaşmış cihazdan oluşan bir botnet, Microsoft 365 (M365) hesaplarına karşı koordineli şifre püskürtme saldırıları başlatıyor.
SecurityScorecard’daki güvenlik araştırmacıları, Çin ile operasyonel bağları olan CDS Global Cloud ve UCloud HK ile bağlantılı altyapı kanıtlarını göstererek Çin’e bağlı tehdit aktörleriyle olası bağlantıları inceliyorlar. Saldırı, daha önce kötü niyetli etkinlik barındırmak için tanımlanmış ABD merkezli bir sağlayıcı olan Sharktech tarafından barındırılan komut ve kontrol (C2) sunucularını kullanıyor.
SecurityScorecard tehdidi istihbarat araştırmacısı David Mound, “Grev tehdidi istihbarat ekibimizden elde edilen bu bulgular, rakiplerin kimlik doğrulama süreçlerinde boşlukları bulmaya ve kullanmaya nasıl devam ettiklerini güçlendiriyor” dedi. “Organizasyonlar tek başına MFA’nın yeterli bir savunma olduğunu varsayamazlar. Etkileşimli olmayan girişlerin nüanslarını anlamak, bu boşlukları kapatmak için çok önemlidir. ”
Bu yeni bir saldırı mı?
Parola püskürtme iyi bilinen bir teknik olsa da, bu kampanya kritik bir güvenlik kör noktasının ölçeği, gizliliği ve kullanımı ile dikkat çekiyor. Volt Typhoon (Çin) ve APT33 (İran) ile bağlantılı önceki saldırıların aksine, bu botnet, geleneksel güvenlik kontrolleri tarafından tespit edilmesini önlemek için etkileşimli olmayan işaretlerden yararlanır.
Tipik olarak, şifre püskürtme, güvenlik ekiplerini uyaran kilitlemlerle sonuçlanır. Ancak, bu kampanya, hizmete hizmete kimlik doğrulaması için kullanılan ve her zaman güvenlik uyarıları oluşturmayan açıkça etkileşimli olmayan işaretleri hedeflemektedir. Bu, saldırganların, yüksek güvenli ortamlarda bile MFA savunmalarını veya koşullu erişim politikalarını (CAP) tetiklemeden çalışmasını sağlar.
Kim risk altında?
Bu saldırının birçok endüstri için etkileri vardır, ancak e -posta, belge depolama ve işbirliği için Microsoft 365’e büyük ölçüde güvenen kuruluşlar özellikle risk altında olabilir. Etkilenen önemli sektörler şunları içerir:
- Finansal Hizmetler ve Sigorta: Dolandırıcılık, içeriden gelen tehditler ve düzenleyici endişeler için yüksek değerli hedefler.
- Sağlık hizmeti: Hasta kayıtlarına yetkisiz erişim ve operasyonların bozulması riskleri.
- Hükümet ve Savunma: Olası casusluk ve veri ortaya çıkma endişeleri.
- Teknoloji ve SaaS sağlayıcıları: Tehdit aktörleri tedarik zinciri saldırıları başlatmak için hesaplardan ödün verebilir.
- Eğitim ve araştırma kurumları: Üniversiteler ve araştırma laboratuvarları, fikri mülkiyet hırsızlığı için sık bir hedef olmaya devam etmektedir.
Neden Önemlidir
- Potansiyel ulus-devlet bağları: Altyapı ve taktikler, saldırıda Çin’e bağlı barındırma sağlayıcıları ile gelişmiş bir aktöre bağlantılar önermektedir.
- Savunmaların atlanması: Güçlü güvenlik duruşlarına sahip şirketler bile, bu kimlik doğrulama girişimlerinin günlüğe kaydedildiğine dair boşluklar nedeniyle savunmasız olabilir.
- Büyüyen Eğilim: Geçmiş kampanyalarda, özellikle devlet kurumlarını, kritik altyapı ve büyük işletmeleri hedefleyen de benzer taktikler gözlenmiştir.
Şimdi hangi güvenlik ekiplerinin yapması gerekiyor
- Etkileşimli olmayan oturum açma günlüklerini inceleyin Yetkisiz erişim denemeleri için.
- Kimlik bilgilerini döndür Son oturum açma girişimlerinde işaretlenen herhangi bir hesap için.
- Eski Kimlik Doğrulama Protokollerini Devre Dışı Bırak Temel kimlik doğrulama gibi.
- Çalınan kimlik bilgilerini izleyin Infostealer günlüklerinde kuruluşlarına bağlı.
- Koşullu erişim politikalarını uygulayın bu etkileşimli olmayan giriş girişimlerini kısıtlar.
Microsoft, Eylül 2025’e kadar temel kimlik doğrulamasını tamamen emekliye ayıracak şekilde, bu saldırılar daha da büyük bir ölçekte kullanılmadan önce daha güvenli kimlik doğrulama yöntemlerine geçişin aciliyetinin altını çiziyor.