.webp?w=696&resize=696,0&ssl=1 "Bilgisayar korsanları istismar ekipleri özellikleri")
Microsoft, hem siber suçluların hem de devlet destekli tehdit aktörlerinin saldırı zincirleri boyunca Microsoft ekiplerinin özelliklerini ve yeteneklerini giderek daha fazla kötüye kullandığına dair bir uyarı yayınladı.
Platformun işbirliği için kapsamlı bir şekilde benimsenmesi, mesajlaşma, çağrılar ve ekran paylaşımı için temel işlevleri kötü niyetli amaçlar için silahlandırılmıştır.
Microsoft ekiplerinin kapsamlı işbirliği özellikleri ve küresel olarak benimsenmesi, onu hem siber suçlular hem de devlet destekli aktörler için yüksek değerli bir hedef haline getiriyor.
Tehdit aktörleri, saldırı zinciri boyunca farklı noktalarda temel yeteneklerini, mesajlaşmasını (sohbet), çağrıları ve toplantıları ve video tabanlı ekran paylaşımını kötüye kullanıyor.
Bu, savunucuların proaktif olarak izlemeleri, tespit etmesi ve yanıt vermeleri için riskleri artırır. Microsoft’un Güvenli Gelecek Girişimi (SFI) varsayılan güvenliği güçlendirmiş olsa da, şirket savunucuların kurumsal ekip ortamlarını sertleştirmek için mevcut güvenlik kontrollerini kullanmaları gerektiğini vurgulamaktadır.
Bilgisayar korsanları istismar ekipleri özellikleri
Microsoft, saldırganların ilk keşiften nihai etkiye kadar ekip ekosistemindeki tüm saldırı yaşam döngüsünden yararlandığını söyledi.
Bu, ağlara sızmak, verileri çalmak ve kötü amaçlı yazılımları dağıtmak için platformun güvenilir durumunun kullanıldığı çok aşamalı bir işlemi içerir.
Saldırı zinciri genellikle tehdit aktörlerinin kullanıcıları, grupları ve kiracıları numaralandırmak için TeamSenum ve Team Filtrasyonu gibi açık kaynaklı araçlar kullandığı keşifle başlar.
Organizasyonel yapıları haritalarlar ve izinli dış iletişim ayarları gibi güvenlik zayıf yönlerini belirlerler.
Bunu, saldırganların meşru kiracıları tehlikeye atabileceği veya BT desteği gibi güvenilir varlıkları taklit etmek için özel markalaşma ile tamamlanan yeni kiracıları yaratabileceği kaynak geliştirme izler.
Güvenilir bir kişi kurduktan sonra, saldırganlar ilk erişime geçer. Bu aşama sıklıkla teknoloji destek dolandırıcılığı gibi sosyal mühendislik taktiklerini içerir.
Örneğin, tehdit oyuncusu Storm-1811, fidye yazılımlarını dağıtmak için bahane kullanarak, fabrikasyon e-posta sorunlarını ele almak için teknoloji desteğini taklit etti.
Benzer şekilde, sabah 3 fidye yazılımlarının iştirakleri çalışanları önemsiz e -posta ile doldurdu ve daha sonra ekipleri uzaktan erişim sağlamaya ikna etmek için çağrıları kullandı.
Kötü niyetli bağlantılar ve yükler de doğrudan takım sohbetleri aracılığıyla teslim edilir, Aadinternals ve TeamSphisher gibi araçlar Darkgate gibi kötü amaçlı yazılım dağıtmak için kullanılır.
Tırmanma ve yanal hareket
Bir dayanak kazandıktan sonra, tehdit aktörleri kalıcılığı korumak ve artan ayrıcalıkları korumak. Erişim belirteçlerini çalmak için kendi konuk hesaplarını ekleyebilir, kötüye kullanma cihazı kodu kimlik doğrulama akışlarını veya uzun vadeli erişim sağlayan kötü amaçlı yazılım sunmak için kimlik avı lures kullanabilirler.
Finansal olarak motive olmuş grup OCTO Tempest, ayrıcalıklı hesaplar için çok faktörlü kimlik doğrulamasını (MFA) tehlikeye atmak için ekipler üzerinde agresif sosyal mühendislik kullanılarak gözlemlenmiştir.
Yüksek erişimle, saldırganlar keşif ve yanal harekete başlar. Meydan okulu kuruluşun Microsoft Entra kimlik yapılandırmasını eşlemek ve değerli verileri aramak için Azurehound gibi araçları kullanırlar.
Devlet destekli aktör şeftali Sandstorm, kötü amaçlı zip dosyaları sunmak için ekipleri kullandı ve daha sonra şirket içi Active Directory veritabanlarını araştırdı.
Bir saldırgan yönetici erişimi kazanırsa, diğer kuruluşlarla güven ilişkileri kurmak için harici iletişim ayarlarını değiştirebilir ve kiracılar arasında yanal hareket sağlar.
Saldırının son aşamaları toplama, komuta ve kontrol (C2), eksfiltrasyon ve etkiyi içerir. Saldırganlar GraphRunner gibi araçları ve ekiplerden, OneDrive ve SharePoint’ten gelen dosyaları aramak ve dışa aktarmak için kullanır.
Brute Ratel C4’ün (BRC4) çatlamış bir sürümü gibi bazı kötü amaçlı yazılımlar, komut göndermek ve almak için ekiplerin kendi iletişim protokollerini kullanarak C2 kanalları oluşturmak için tasarlanmıştır.
Veri eksfiltrasyonu, saldırgan kontrollü bulut depolamaya işaret eden ekip mesajları veya paylaşılan bağlantılar aracılığıyla gerçekleşebilir. Nihai hedef genellikle gasp veya fidye yazılımı yoluyla finansal hırsızlıktır.
Örneğin Octo Tempest, ekipleri, sistemlerini başarıyla kontrol ettikten sonra kuruluşlara ödeme yapmak için tehdit edici mesajlar göndermek için kullandı.
Bu, platformun sadece bir giriş vektörü olarak değil, doğrudan finansal baskı için bir araç olarak nasıl istismar edilebileceğini gösterir.
Buna karşılık, uzmanlar, kimlik ve erişim kontrollerinin sertleşmesine odaklanan, ekipler içindeki anormal etkinlik izlemeye ve kullanıcılara sürekli güvenlik bilinci eğitimi sağlayan bir derinlemesine savunma stratejisi önermektedir.
Cyber Awareness Month Offer: Upskill With 100+ Premium Cybersecurity Courses From EHA's Diamond Membership: Join Today
