Rusya’nın dış istihbarat teşkilatına bağlı bir tehdit grubu olan “Midnight Blizzard”, hem kapsamı hem de bilgi toplamak ve kurban sistemlerin kontrolünü ele geçirmek için kullandığı yeni taktik nedeniyle normalden daha fazla endişe yaratıyor.
Microsoft bu hafta, tehdit istihbarat grubunun Midnight Blizzard aktörlerinin 22 Ekim’den bu yana dünya çapında 100’den fazla kuruluşta hedeflenen kişilere binlerce hedef odaklı kimlik avı e-postası gönderdiğini gözlemlediğini söyledi.
Büyük Ölçekli Kampanya
Kampanya, geniş kapsamının yanı sıra Midnight Blizzard’ın hedef odaklı kimlik avı e-postalarında dijital imzalı Uzak Masaüstü Protokolü (RDP) yapılandırma dosyasını kullanması açısından da dikkat çekiyor. RDP dosyası, bir tehdit aktörü tarafından kontrol edilen bir sunucuya bağlanır; Dosya açıldığında, saldırganın daha fazla yararlanma etkinliğine yardımcı olmak için kullanıcı kimlik bilgilerini ve ayrıntılı sistem bilgilerini toplamasına olanak tanır.
“E-postalar, Microsoft, Amazon Web Services (AWS) ve sıfır güven kavramıyla ilgili sosyal mühendislik cazibesi kullanılarak yüksek oranda hedef alınmıştı.” Microsoft dedi bu hafta tehdit istihbaratı grubu blogunda. “Microsoft, başta İngiltere, Avrupa, Avustralya ve Japonya olmak üzere düzinelerce ülkede devlet kurumlarını, yüksek öğrenimi, savunmayı ve sivil toplum kuruluşlarını hedef alan bu kampanyayı gözlemledi.”
Midnight Blizzard – diğer adıyla Cozy Bear, APT29 ve UNC2452 – birkaç yıldır güvenlik kuruluşlarının başına bela oldu. Grubun birçok kurbanı arasında şunlar yer alıyor: SolarRüzgarlar, Microsoft, HPEçoklu ABD federal hükümet kurumlarıVe diplomatik kuruluşlar dünya çapında. İyi belgelenmiş taktikleri, teknikleri ve prosedürleri (TTP’ler), ilk erişim için hedef odaklı kimlik avı, çalınan kimlik bilgileri ve tedarik zinciri saldırılarını kullanmayı içerir. Midnight Blizzard oyuncuları ayrıca hedef ağda ilk tutunma noktasını elde etmek için Fortinet, Pulse Secure, Citrix ve Zimbra gibi yaygın olarak kullanılan ağ oluşturma ve işbirliği teknolojilerindeki güvenlik açıklarını da hedef aldı.
Çift Yönlü Bağlantı
Microsoft, AWS ve Midnight Blizzard’ın son kampanyasındaki sıfır güven temalı e-postalardaki RDP dosyası, saldırganın güvenliği ihlal edilmiş bir cihazla hızlı, çift yönlü bir bağlantı kurmasına olanak tanıyor. Tehdit aktörü bunu kurban sistemindeki ve bağlı ağ sürücülerindeki kullanıcı kimlik bilgileri, dosyalar ve dizinler dahil olmak üzere bir dizi bilgiyi toplamak için kullanıyor; bağlı akıllı kartlardan ve diğer çevre birimlerinden gelen bilgiler; Web kimlik doğrulama bilgileri; ve pano verileri. RDF dosyası, ona meşruiyet havası vermek için LetsEncrypt sertifikasıyla imzalanmıştır. “Bu erişim, tehdit aktörünün hedefin yerel sürücülerine ve eşlenen ağ paylaşımlarına, özellikle de AutoStart klasörlerine kötü amaçlı yazılım yüklemesine veya RDP bozulduğunda erişimi sürdürmek için uzaktan erişim Truva Atları (RAT’ler) gibi ek araçlar yüklemesine olanak sağlayabilir. oturum kapatıldı,” diye uyardı Microsoft.
SlashNext’in saha CTO’su Stephen Kowski, Midnight Blizzard’ın mevcut kampanyasında imzalı RDP dosyalarını kullanmasının önemli olduğunu söylüyor. İmzalı RDP dosyalarının, meşru bir kaynaktan geliyor gibi göründükleri için geleneksel güvenlik kontrollerini atlayabileceğine dikkat çekiyor.
“Bu teknik özellikle kurnazdır çünkü RDP dosyaları iş ortamlarında yaygın olarak kullanılır, bu da onların anında şüphe uyandırma olasılığını azaltırken meşru imza, standart kötü amaçlı yazılım tespit sistemlerinden kaçmaya yardımcı olur” diyor. Kuruluşların tüm e-posta eklerini gerçek zamanlı olarak taramasını, özellikle RDP dosyalarına ve Microsoft ile ilgili diğer meşru görünen içeriklere odaklanmasını savunuyor. Kowski, “Yasal olarak imzalanmış dosyaların kullanılması, ağırlıklı olarak imzaya dayalı algılama veya itibar puanlamaya dayanan geleneksel güvenlik araçları için önemli bir kör nokta yaratıyor” tavsiyesinde bulunuyor.
Tehdidi Azaltma
Microsoft, e-posta gönderen etki alanları, RDP dosyaları ve RDP uzak bilgisayar etki alanları da dahil olmak üzere yeni Midnight Blizzard kampanyası için risk göstergelerinin bir listesini yayınladı. Güvenlik ekiplerinin kurumsal e-posta güvenlik ayarlarını ve antivirüs ve kimlik avına karşı önlemlerini gözden geçirmeleri önerildi; aç Güvenli Bağlantılar Ve Güvenli Ekler Office 365’teki ayarlar; ve gerekirse gönderilen e-postanın karantinaya alınmasına yönelik önlemleri etkinleştirin. Diğer öneriler arasında RDP bağlantılarını engellemek için güvenlik duvarlarının kullanılması, çok faktörlü kimlik doğrulamanın uygulanması ve uç nokta güvenlik yapılandırmalarının güçlendirilmesi yer alır.
ColorTokens saha CTO’su Venky Raju, kampanyanın kuruluşların Microsoft’un uzak masaüstü kullanımı üzerinde neden sıkı bir kontrole sahip olmaları gerektiğinin bir hatırlatıcısı olduğunu söylüyor. Cihazları, klasörleri ve pano içeriğini bir RDP oturumu üzerinden paylaşmak faydalı olsa da, saldırganlara kullanıcının cihazına girme yolu sağlar. “RDP yapılandırma dosyasının imzalanması, e-posta güvenlik sistemlerinin e-postayı şüpheli bağlantı veya ek içeriyor olarak sınıflandırmasını engelleyebilir. Ayrıca RDP istemcisi tarafından sunulan uyarıları da azaltabilir” diye belirtiyor.