Microsoft, son saldırılarda dağınık örümcek taktiklerini, tekniklerini ve prosedürlerini ortaya çıkarır


Microsoft, alternatif olarak dağınık örümcek, karışık Terazi, UNC3944 veya 0ktapus olarak bilinen finansal olarak motive olmuş bir siber suçlu grup olan Octo Tempest’in sofistike operasyonlarına ışık tuttu.

Bu tehdit oyuncusu, çeşitli sektörlerdeki organizasyonları hedefleyen uçtan uca saldırılarda çok yönlü bir taktik, teknik ve prosedürler (TTP’ler) göstermiştir.

Octo Tempest’in metodolojisi, genellikle saldırganların, genellikle hedeflenen kimlik bilgilerinin şifreleri sıfırlamalarını başlatan, saldırganların meşru kullanıcıları telefon görüşmeleri, e -postalar veya mesajlar aracılığıyla hizmet masası desteğine dahil ettikleri gelişmiş sosyal mühendislik kampanyaları aracılığıyla ilk erişimle başlar.

Bu, genellikle güvenilir kuruluşları taklit eden ve kimlik bilgisi hasatını sağlayan ortada düşman (AITM) alanlarından Kısa Mesaj Hizmeti (SMS) tabanlı kimlik avı ile artırılır.

İçeri girdikten sonra, grup Azure Active Directory ortamlarını manipüle etmek için Aadinternals’ın yanı sıra tünelleme ve kalıcılık için NGROK ve keski gibi araçlar kullanır.

Saldırıları genellikle hibrid kimlik altyapılarını etkiler, gasp veya fidye yazılımı dağıtımlarını desteklemek için veri açığa çıkmasını kolaylaştırır.

Son müdahaleler, Octo Tempest’in DragonForce fidye yazılımını özellikle VMware ESX hipervizör ortamlarına karşı dağıtmasıyla odakta bir değişim göstermiştir.

Dağınık örümcek
Saldırı yolu

Özellikle, şirket içi pivotlar için bulut kimlik ayrıcalıklarına dayanan önceki kalıpların aksine, mevcut faaliyetler, bulut kaynaklarına yükselmeden önce şirket içi hesaplardan ve altyapıdan ödün vermeyi ve keşif, kimlik bilgisi erişim ve yan hareketi harmanlayan uyarlanabilir bir hibrid saldırı zincirini vurgulamaktadır.

Otomatik bozulma mekanizmaları

Microsoft Defender, Octo Tempest’in TTP’lerine karşı koymak için uç noktaları, kimlikleri, SaaS uygulamalarını, e -posta araçlarını ve daha fazlasını kapsayan güvenlik portföyünde kapsamlı algılama özellikleri sağlar.

İlk erişim için, algılamalar, bulut için Microsoft Defender (MDC) aracılığıyla sanal makinelerde olağandışı kullanıcı şifresi sıfırlamalarını içerir.

Discovery aşamaları, NTDS.DIT’ten Microsoft Defans (MDE), hesap numaralandırma keşifleri, DNS aracılığıyla ağ harmanlama ve kimlik için Microsoft Defender’da LDAP ve SAMR protokolleri kullanılarak çeşitli Active Directory keşif faaliyetleri gibi şüpheli kimlik bilgisi dökümleri gibi göstergelerle izlenir (MDI).

Kimlik bilgisi erişim ve yanal hareket, Mimikatz kimlik hedefi hırsızlığı, Adexplorer kullanımı, şüpheli Azure Rol atamaları ve DCSYNC saldırılarının dizin hizmetlerini kopyalayan tespitleri ile işaretlenir.

Kalıcılık ve infaz, ADF’lerin kalıcı arka kapıların belirlenmesi ile bozulurken, savunma kaçakçılığı fidye yazılımlarına özgü faaliyetleri kurcalamayı içerir.

SMB üzerinde veri evreleme ve pessiltrasyon veya DragonForce fidye yazılımı dağıtım, MDE’de tetikleme önleme ve uygulamalı teli uyarıları gibi hedefler hakkındaki eylemler.

Devam eden saldırıları bozmak için Microsoft Defender, tehditleri tahmin etmek ve içermek için çoklu alanlı sinyalleri, tehdit istihbaratını ve makine öğrenimi modellerini koruyan AI destekli bir kendini savunma mekanizması olan otomatik saldırı aksaması kullanır.

Bu, tehlikeye atılan kullanıcı hesaplarının devre dışı bırakılmasını ve Octo Tempest ile ilgili imzalar gibi göstergelere dayalı aktif oturumların iptal edilmesini ve saldırgan erişimini etkili bir şekilde kesmeyi içerir. Bununla birlikte, Microsoft, güvenlik operasyon merkezlerinin tam iyileştirme için olay yanıtı ve Enjane sonrası analizleri takip etmesi gerektiğini vurgulamaktadır.

Proaktif avcılık

Kuruluşlar, Microsoft Defender XDR ve Microsoft Sentinel’deki Microsoft Güvenlik Maruz Kalma Yönetimi’nden pozlama bilgileri ile desteklenen birinci ve üçüncü taraf veri kaynaklarını sorgulayarak OCTO Tempest etkinliklerini araştırmak için Microsoft Defender’ın gelişmiş avcılık özelliklerinden yararlanabilir.

Bu, yardım masası bağlantılı hesaplar gibi potansiyel hedeflerin proaktif değerlendirilmesini ve savunmaları önceden boşaltmak için saldırı yollarının simülasyonunu sağlar.

Proaktif savunma için Microsoft Güvenlik Maruz kalma yönetimi, varlıkların özel saldırı yolları ve önerileri oluşturmak için sınıflandırıldığı kritik varlık koruması gibi araçlar sunar.

Rapora göre, özel Octo Tempest Tehdit Girişimi gibi girişimler, Mimikatz yoluyla LSASS kimlik bilgisi ekstraksiyonunu engellemek için Saldırı Yüzeyi Azaltma (ASR) kuralları ve saldırgan kontrollü IPS’den riskli işaretler için koşullu erişim politikaları gibi hafifletmeler üzerinde odaklanıyor.

Daha geniş fidye yazılımı girişimi, kimliği, uç nokta ve altyapı katmanlarını gasp taktiklerine karşı sertleştirir.

Saldırı yolu analizi, hibrit tehditleri izler, ayrıcalık artış ve bulut pivotları için sömürülen Entra Connect sunucuları gibi chokepointleri belirler, ekiplerin savunmasız varlıkların iyileştirilmesine öncelik vermesine ve Octo Tempest’in agresif sosyal mühendisliği ve fidye yazılımı operasyonlarının etkisini en aza indirmesine izin verir.

Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now



Source link