NOBELIUM bilgisayar korsanları Rusya ile bağlantılıdır ve 2021’de SolarWinds hack’ini hedef almalarıyla tanınırlar.
Microsoft, Midnight Blizzard olarak bilinen kötü şöhretli tehdit aktörü tarafından düzenlenen kimlik bilgisi saldırı etkinliğinde önemli bir artış tespit etti. Bu saldırıları birbirinden ayıran şey, konut proxy hizmetlerinin kötü amaçlı etkinliklerinin kaynağını gizlemek için kurnazca kullanılmasıdır.
Bu hain eylemlerin hedefleri arasında hükümetler, BT hizmet sağlayıcıları, STK’lar, savunma sanayi kuruluşları ve kritik üretim birimleri yer alıyor.
NOBELIUM kod adıyla da bilinen Midnight Blizzard, bu kimlik bilgisi saldırılarını gerçekleştirmek için bir dizi gelişmiş teknik kullanır. Cephanelik, şifre spreyi, kaba kuvvet ve jeton hırsızlığı yöntemlerini içerir.
Tehdidi artırmak için, tehdit aktörünün oturum yeniden oynatma saldırıları kullandığı ve bu saldırıların, büyük olasılıkla yasa dışı yollarla elde edilen çalıntı oturumlardan yararlanarak bulut kaynaklarına ilk erişimi elde etmelerine olanak sağladığı tespit edildi.
Bu saldırıların özellikle dikkate değer bir yönü, genellikle konut proxy hizmetleriyle ilişkilendirilen düşük itibarlı IP adreslerinin kullanılmasıdır. Midnight Blizzard, tehlikeye atılmış kimlik bilgilerini kullanarak bağlantılarını gizlemeyi ve faaliyetlerinin izlenmesini son derece zorlaştırmayı başarır.
İçinde tweet dizisiMicrosoft, tehdit aktörünün meseleleri daha da karmaşık hale getirmek için bu IP adreslerini kısa sürelerle kullandığını ve etkili kapsam belirleme ve düzeltme çabalarına önemli zorluklar getirdiğini açıkladı.
Midnight Blizzard veya NOBELIUM’un 2021’in sonlarında yıkıcı SolarWinds hack’inin arkasındaki grupla aynı grup olduğunu belirtmekte fayda var.
Artan bu tehdide karşı koymak için Microsoft, savunma önlemlerini güçlendirdi. Microsoft Defender Antivirus, Defender for Endpoint, Defender for Cloud Apps ve Azure Active Directory’nin tümü, bu saldırılara karşı koruma sağlamak için sağlam korumalar ve gelişmiş algılama mekanizmalarıyla donatılmıştır.
İLGİLİ MAKALELER
- SolarWinds Bilgisayar Korsanları Yeni Arka Kapı ‘MagicWeb’i Kullanıyor
- Askeri Uydu Erişimi Rus Hacker Forumunda Satıldı
- Microsoft: FoggyWeb arka kapısını kullanan Nobelium bilgisayar korsanları
- Ukraynalı Hacktivistler Veri İçin Rus Askeri Eşlerini Kandırıyor
- British Airways ve BBC, Şüpheli Rus Hackerlar Tarafından Vurdu