Microsoft, ilk çeyrekte hibrid bulut ortamlarını hedefleyen sofistike fidye yazılımı saldırıları konusunda bir uyarı yayınladı.
Bu saldırılar, şirket içi altyapı ve bulut hizmetlerinin kesiştiği yerde güvenlik açıklarından yararlanır ve hibrit konfigürasyonlara sahip kuruluşlara meydan okur.
Önemli bir değişimle, Kuzey Kore devlet oyuncusu Moonstone Sleepet, Qilin fidye yazılımlarını hedeflenen saldırılarda konuşlandırdı.
.png
)
Bu, ilk operasyonlarını, özel kötü amaçlı yazılım kullanmak yerine, hizmet olarak fidye yazılımı bağlı kuruluşu olarak işaret eder, bu da makul inkar edilebilirliği korurken verimliliği artırmak için taktiksel evrimi gösterir.
Microsoft Tehdit İstihbarat Araştırmacıları, şirket içi sistemlerden bulut altyapısına kadar yanal hareket için gelişmiş yetenekler kullanarak tehdit oyuncusu Storm-0501’i tespit etti.
Analizleri, yönetilmeyen cihazları hedefleyen ve kritik kaynaklara erişmek, yedeklemeleri silmek ve fidye yazılımlarını dağıtmak için güvensiz hibrid hesaplardan yararlanan teknikleri ortaya çıkardı.
Şubat ayında Siyah Basta Fidye Grubu sohbetleri, Citrix, Jenkins ve VPN güvenlik açıklarının sömürülmesi de dahil olmak üzere teknik yöntemlerini ortaya koydu.
Diğer aktif gruplar arasında Dantel Tempest ve Storm-1175 vardı, ikincisi açıklamadan kısa bir süre sonra yeni SimpleHelp güvenlik açıklarından yararlandı.
Sosyal mühendislik yaygın olarak kalır ve aktörler, uzak erişim araçlarını dağıtmadan önce sahte BT destek çağrıları yoluyla temas başlatır. Storm-1674, Microsoft Teams aracılığıyla sahte BT çağrıları kullanılarak gözlendi, bu da Hızlı Yardım ve PowerShell kullanımına yol açtı.
Hibrit Bulut Sömürü Teknikleri
Storm-0501’in bulut uzlaşma metodolojisi, güvensiz hibrid kimlik konfigürasyonları yoluyla tehlikeye atılmış şirket içi sistemlerden yanal hareketle başlar.
İlk erişim elde ettikten sonra, saldırganlar ortamlarda aşırı izinleri olan hesapları hedefler. Bu yaklaşım, geleneksel altyapı ve bulut kaynakları arasında sorunsuz bir şekilde dönmelerine izin verir.
Saldırı zinciri genellikle yapılandırma dosyalarını hedefleyen belirli HTTP isteklerini içerir:-
GET /toolbox-resource/../serverconfig.xmlBu yol geçiş tekniği, kimlik doğrulama jetonlarını ve federasyon ayarlarını ortaya çıkarır ve saldırganların kimlik sistemleri arasındaki güven ilişkilerini kullanarak çok faktörlü kimlik doğrulamasını atlamasına izin verir.
Microsoft, kimlik bilgisi hijyeninin uygulanmasını, en az ayrıcalık ilkelerinin uygulanmasını ve hibrid ortamları korumak için sıfır güven mimarilerinin benimsenmesini önerir.
Kuruluşlar ayrıca, hibrid kimlik sistemlerinin uzlaşmasını gösterebilecek olağandışı kimlik doğrulama modellerini yakından izlemelidir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy