Tehdit aktörü “Midnight Blizzard”, artan kimlik bilgisi saldırısı etkinliğine giriyor.
Konut proxy hizmetlerini kullanarak saldırılarının kaynağını gizlerler.
Bu saldırılar hükümetleri, BT hizmet sağlayıcılarını, STK’ları, savunma sektörünü ve hayati üretimi hedefler.
Bu kimlik bilgisi saldırılarında çok sayıda parola spreyi, kaba kuvvet ve belirteç hırsızlığı taktikleri kullanılır.
Düşük İtibarlı IP Adresleri ve Proxy Hizmetleri Kullanma
Midnight Blizzard (NOBELIUM) ayrıca, büyük olasılıkla bulut kaynaklarına ilk erişimi elde etmek için yasa dışı satış yoluyla elde edilen, çalınan oturumları kullanarak oturum yeniden oynatma saldırıları gerçekleştirdi.
Tehdit aktörlerinin güvenliği ihlal edilmiş kimlik bilgileriyle kurduğu bağlantılar, konut proxy sağlayıcıları tarafından sağlananlar gibi düşük itibarlı IP adresleri kullanılarak gizlenebilir.
Microsoft Tehdit İstihbaratı, “tehdit aktörünün bu IP adreslerini büyük olasılıkla çok kısa süreler için kullandığını ve bunun kapsam belirleme ve düzeltmeyi zorlaştırabileceğini” bildirdi.
Microsoft, bir dizi tweet’te, sorunları daha da zorlaştırarak, tehdit aktörünün bu IP adreslerini yalnızca ara sıra kullandığını ve etkili kapsam belirleme ve düzeltme operasyonları için önemli engeller oluşturduğunu belirtti.
Midnight Blizzard veya NOBELIUM olarak bilinen aynı kuruluşun 2021’in sonlarında meydana gelen feci SolarWinds ihlalinden sorumlu olduğunu belirtmek önemlidir.
Microsoft, bu büyüyen tehlikeyle mücadele etmek için savunmasını güçlendirdi. Bu saldırılara karşı savunma yapmak için Microsoft Defender Antivirus, Defender for Endpoint, Defender for Cloud Apps ve Azure Active Directory’nin hepsine güçlü güvenlik özellikleri ve iyileştirilmiş algılama yetenekleri verildi.
Uç Noktalarınızı Verimli Bir Şekilde Yönetin ve Güvenliğini Sağlayın – Ücretsiz indirin