Düşmanlar, siber güvenlik ekiplerinin hibrit bulut ortamlarının güvenliğinin sağlanmasında karşılaştığı karmaşıklığın farkına vardı; bunlardan sonuncusu, okullar da dahil olmak üzere en savunmasız kuruluşları düzenli olarak hedef alan bir nakit kapma operasyonu olan “Storm-0501” olarak takip edilen özellikle nefret uyandıran bir gruptur. ABD genelinde hastaneler ve kolluk kuvvetleri.
Microsoft Tehdit İstihbaratı’nın yeni bir raporuna göre Storm-0501, 2021’den beri ortalıkta dolaşıyor ve aralarında hizmet olarak fidye yazılımı (RaaS) türlerinin bağlı kuruluşu olarak faaliyet gösteriyor. BlackCat/ALPHV, Kilit Bitive Ambargo.
Özellikle Microsoft, fidye yazılımı grubunun yaklaşımında bir değişiklik gözlemledi. Bir zamanlar aracılardan ilk erişimi satın almaya güvenen Storm-0501, yakın zamanda zayıf parolalara ve aşırı ayrıcalıklı hesaplara sahip hibrit bulut ortamlarından yararlanarak başarıya ulaştı. Entra ID kimlik bilgilerini başarılı bir şekilde hedef alan bir kampanyada görüldüğü gibi, önce şirket içi ortama bir hedefte giriyorlar, ardından buluta girmek için dönüyorlar.
Microsoft Entra Connect Kimlik Bilgisi Crack
Microsoft ekibi, Storm-0501 tehdit aktörlerinin, erişim sağlamak için güvenliği ihlal edilmiş kimlik bilgilerini kullanan yakın tarihli bir saldırısını ayrıntılı olarak açıkladı. Microsoft Entra Kimliği (eski adıyla Azure AD). Bu şirket içi Microsoft uygulaması, parolaların ve diğer hassas verilerin Active Directory ve Entra ID’deki nesneler arasında senkronize edilmesinden sorumludur; bu, esasen kullanıcının aynı kimlik bilgilerini kullanarak hem şirket içi hem de bulut ortamlarında oturum açmasına olanak tanır.
Raporda, Storm-0501’in buluta yanal olarak hareket edebildikten sonra verilere müdahale edebildiği ve verileri sızdırabildiği, kalıcı arka kapı erişimi kurabildiği ve fidye yazılımı dağıtabildiği uyarısında bulunuldu.
Microsoft, “Son Storm-0501 kampanyasında, tehdit aktörünün özellikle Microsoft Entra Connect Sync sunucularını konumlandırdığını ve Microsoft Entra Connect bulut ve şirket içi senkronizasyon hesaplarının düz metin kimlik bilgilerini çıkarmayı başardığını büyük bir güvenle değerlendirebiliriz” dedi. . “Bulut Dizin Senkronizasyon Hesabının ele geçirilmesinin ardından, tehdit aktörü açık metin kimlik bilgilerini kullanarak kimlik doğrulaması yapabilir ve Microsoft Graph’a erişim belirteci alabilir.”
Saldırgan buradan herhangi bir hibrit, senkronize edilmiş hesabın Microsoft Entra ID şifrelerini serbestçe değiştirebilir.
Ancak bu güvenilmez siber suçluların, ele geçirilen bir Entra ID hesabından buluta atlamanın bulduğu tek yol bu değil. İkinci strateji, Microsoft’un ayrıntılı olarak açıkladığı gibi daha karmaşıktır ve küresel yönetici izinleriyle belirlenmiş, ilişkili bir Entra ID’ye sahip bir etki alanı yönetici hesabının ihlal edilmesine dayanıyordu. Ayrıca saldırganların başarılı olabilmesi için hesapta çok faktörlü kimlik doğrulamanın (MFA) devre dışı bırakılması gerekiyor.
Microsoft, “Senkronizasyon hizmetinin Microsoft Entra’daki yönetim hesapları için kullanılamadığını, dolayısıyla bu durumda parolaların ve diğer verilerin şirket içi hesaptan Microsoft Entra hesabına senkronize edilmediğini belirtmek önemlidir” dedi. “Ancak, her iki hesabın şifreleri aynıysa veya şirket içi kimlik bilgileri hırsızlığı teknikleriyle (yani Web tarayıcılarının şifrelerini saklıyorsa) elde edilebiliyorsa, o zaman pivot mümkündür.”
Microsoft’un bildirdiğine göre, Storm-0501 içeri girdikten sonra daha sonra kullanmak üzere kalıcı arka kapı erişimi ayarlamak, ağ kontrolünü sağlamak için çalışmak ve buluta yanal hareket sağlamakla meşguldü. Bu yapıldıktan sonra istedikleri dosyaları sızdırdılar ve Ambargo’yu uyguladılar fidye yazılımı tüm organizasyon genelinde.
Microsoft raporuna göre, “Microsoft tarafından gözlemlenen vakalarda, tehdit aktörü, Embargo fidye yazılımını ağdaki cihazlarda GPO aracılığıyla kaydedilen ‘SysUpdate’ adlı zamanlanmış bir görev aracılığıyla dağıtmak için güvenliği ihlal edilmiş Etki Alanı Yöneticisi hesaplarından yararlandı.”
Microsoft’un Entra ID uygulamasına yönelik saldırıların iki ayrı versiyonu, siber suçluların kolay kazanç olarak hibrit bulut ortamlarına ve onların büyük, kalın saldırı yüzeylerine odaklandığını gösteriyor.
Hibrit Bulutun Storm-0501 Saldırılarına Karşı Güvenliğini Sağlama
“Hibrit bulut ortamları daha yaygın hale geldikçe, birden fazla platformda kaynakların güvenliğini sağlamanın zorluğu kuruluşlar için her zamankinden daha kritik hale geliyor.” Microsoft’un Tehdit Intel ekibi uyardı.
Kurumsal siber güvenlik ekipleri bunu, bir hedefe doğru ilerlemeye devam ederek başarabilir. sıfır güven çerçevesiKeeper Security’nin güvenlik ve mimarlık başkan yardımcısı Patrick Tiquet’in açıklamasına göre.
Tiquet, e-posta yoluyla şöyle açıkladı: “Bu model, sürekli doğrulamaya dayalı olarak erişimi kısıtlayarak kullanıcıların yalnızca belirli rolleri için gerekli olan kaynaklara erişmesini sağlayarak kötü niyetli aktörlere maruz kalmayı en aza indiriyor.” “Zayıf kimlik bilgileri, hibrit bulut ortamlarındaki en savunmasız giriş noktalarından biri olmaya devam ediyor ve Storm-0501 gibi grupların bunları istismar etmesi muhtemel.”
Uç nokta cihaz yönetimini (EDM) merkezileştirmenin de “gerekli” olduğunu söyledi. “Bulut tabanlı veya şirket içi olsun, tüm ortamlarda tutarlı güvenlik düzeltme eki uygulanmasının sağlanması, saldırganların bilinen güvenlik açıklarından yararlanmasını önler.”
Gelişmiş izleme, ekiplerin potansiyel tehditleri tespit etmesine yardımcı olacak hibrit bulut ortamları bir ihlal haline gelmeden önce, diye ekledi.
SlashNext Security’nin saha CTO’su Stephen Kowski, e-postayla gönderilen bir açıklamada aynı önerilerin çoğunu yineledi.
Kowski, “Bu rapor, hibrit bulut ortamlarında sağlam güvenlik önlemlerine yönelik kritik ihtiyacın altını çiziyor” dedi. “Güvenlik ekipleri, kimlik ve erişim yönetimini güçlendirmeye, en az ayrıcalık ilkelerini uygulamaya ve İnternet’e yönelik sistemlere zamanında yama uygulanmasını sağlamaya öncelik vermelidir.”
Ayrıca, ilk erişim denemelerine karşı koruma sağlamak için güvenliğin artırılmasını önerdi.
“Gelişmiş e-posta ve mesajlaşma güvenlik çözümlerinin dağıtılması, genellikle bu karmaşık saldırılar için giriş noktası görevi gören kimlik avı veya sosyal mühendislik taktikleri yoluyla yapılan ilk erişim girişimlerini önlemeye yardımcı olabilir” diye ekledi.