Qilin fidye yazılımı grubuna atfedilen yakın tarihli bir siber saldırıda, tehdit aktörleri, popüler bir uzak izleme ve yönetim (RMM) aracı olan screenconnect’in giriş sayfasını taklit ederek yönetilen bir servis sağlayıcısını (MSP) başarıyla tehlikeye attı.
Ocak 2025’te meydana gelen saldırı, MSP’leri hedef alan kimlik avı kampanyalarının aşağı yönlü müşterilerden yararlanmak için artan karmaşıklığını vurgulamaktadır.
Sophos’un Yönetilen Tespit ve Yanıt (MDR) ekibi, bu olayı 2022’den beri aktif bir tehdit kümesi olan STAC4365 ile bağlantılı daha geniş bir kampanyanın bir parçası olarak tanımladı.
Ortak (AITM) çerçeveleri ve çok faktörlü kimlik doğrulama (MFA) bypass gibi gelişmiş teknikleri kullanarak, saldırganlar MSP’nin ekran bağlantısı ortamına idari erişim kazandı ve fidye yazılımlarını birden fazla müşteri ağına dağıtmalarını sağladı.
Saldırı Zinciri Analizi
Saldırı, bir MSP yöneticisine gönderilen oldukça ikna edici bir kimlik avı e -postasıyla başladı.
E -posta, alıcıyı bir güvenlik bildirimini gözden geçirmeye çağırarak Screenconnect’ten bir kimlik doğrulama uyarısı taklit etti.
Gömülü bağlantı kurbanı kötü amaçlı bir alana yönlendirdi cloud.screenconnect[.]com.ms Meşru ScreAnconnect oturum açma sayfasını çoğaltmak için tasarlanmıştır.
Kimlik bilgileri girildikten sonra, kimlik avı sitesi bir proxy olarak hareket etti ve hem giriş bilgilerini hem de zamana dayalı bir kerelik şifreleri (TOTPS) ele geçirirken meşru screenconnect portalına iletti.
Bu, saldırganların MFA korumalarını atlamasına ve MSP’nin süper yöneticisi olarak kimlik doğrulamasına izin verdi.
Tam idari ayrıcalıklarla, saldırganlar birden fazla müşteri ortamına kendi kötü amaçlı screenconnect örneğini kullandılar.
Bu, ağ keşfi yapmalarını, kullanıcı kimlik bilgilerini sıfırlamalarını ve komutları uzaktan yürütmelerini sağladı.
Ayrıca, erişimlerini daha da yükseltmek için Psexec, WinRM ve Veeam Cloud yedekleme hizmetlerinde CVE-2023-27532 gibi güvenlik açıklarını hedefleyen araçları kullandılar.
Qilin fidye yazılımının dağıtım
MSP’nin ortamını kontrol ettikten sonra, saldırganlar Qilin fidye yazılımını daha önce “gündem” olarak bilinen bir Hizmet Olarak Fidye Yazılımı (RAAS) programı başlattı.
Qilin, kurbanların Tor’da barındırılan sızıntı siteleri veya “WikiLeaksv2” gibi platformlar aracılığıyla hem veri şifreleme hem de kamuya maruz kalma tehditleriyle karşılaştığı çift gasp taktikleriyle bilinir.
Sophos araştırmacıları, bu saldırıdan etkilenen her müşterinin farklı şifreler ve bireysel kurbanlar için tasarlanmış fidye notları ile benzersiz bir fidye yazılımı ikili aldığını belirtti.
Fidye yazılımı, Volume Shadow Copy Service (VSS), Windows olay günlüklerini silmek ve yedeklemeleri hedefleyerek sistem kurtarmayı önlemek için güvenlik özelliklerini devre dışı bırakacak şekilde programlanmıştır.
Qilin Group’un faaliyetleri, MSP’leri hedefleyen tedarik zinciri saldırılarıyla ilişkili risklerin altını çizmektedir.
Tek bir sağlayıcıyı tehlikeye atarak, saldırganlar etkilerini artırarak birden fazla alt kuruluşa erişirler.
Bu olay aynı zamanda kimlik avı kampanyalarının AITM tekniklerini kullanarak geleneksel MFA korumalarını atlamak için nasıl geliştiğini vurgulamaktadır.
Bu tür riskleri azaltmak için, kuruluşlar şunlar olmalıdır:
- FIDO2 tabanlı çözümler gibi kimlik avlamaya dayanıklı kimlik doğrulama yöntemlerini uygulayın.
- Yönetilen cihazlara bağlı koşullu erişim politikaları yoluyla kritik uygulamalara erişimi kısıtlayın.
- Çalışanların kimlik avı girişimlerini ve şüpheli alanlarını belirlemeleri için düzenli eğitim yapın.
- Güvenli moda karşı koruyan uç nokta koruma mekanizmalarını etkinleştirin.
Sophos, savunucuların çevrelerindeki benzer tehditleri belirlemelerine yardımcı olmak için GitHub sayfasında STAC4365 ve Qilin için ayrıntılı uzlaşma (IOCS) göstergeleri sağlamıştır.
Fidye yazılımı grupları yöntemlerini geliştirmeye devam ettikçe, kritik altyapı ve hassas verileri korumak için proaktif savunma önlemleri gereklidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!