Rus deniz kabuğu Blizzard’ın saldırılarını genişletmek için ağ cihazlarına saldıran ağ cihazlarına saldırıyor

   Şubat 13, 2025  Posted in CyberSecurityNews


Rus deniz kabuğu Blizzard'ın saldırılarını genişletmek için ağ cihazlarına saldıran ağ cihazlarına saldırıyor

Microsoft Tehdit İstihbaratı, “Badpilot kampanyası” olarak bilinen Rus devlet oyuncusu Seashell Blizzard’da bir alt grup ortaya çıkardı.

Bu alt grup, küresel olarak internete dönük altyapıyı tehlikeye atmak için çok yıllı bir operasyon yürütüyor ve Seasshell Blizzard’ın Doğu Avrupa’nın ötesine ulaşmasını genişletiyor.

Kampanya, kimlik bilgilerini toplamak, komutları yürütmek ve ağlarda yanal hareketi kolaylaştırmak için fırsatçı erişim tekniklerinden ve gizli kalıcılık yöntemlerinden yararlanır.

Seashell Blizzard, Rusya Federasyonu’nun Askeri İstihbarat Birimi 74455 (GRU) ile bağlantılı yüksek etkili bir tehdit oyuncusudur.

En az 2013’ten bu yana aktif olan, Casusluktan Killdisk (2015) ve Notpetya (2017) gibi yıkıcı saldırılar da dahil olmak üzere siber özellikli bozulmalara kadar çeşitli operasyonlarda yer almaktadır.

Microsoft tehdit istihbarat analistleri, Seasshell Blizzard’ın endüstriyel kontrol sistemleri (ICS) ve denetim kontrol ve veri toplama sistemleri (SCADA) gibi kritik altyapıyı hedefleme konusundaki uzmanlığıyla bilindiğini belirtti.

Seasshell Blizzard için Saldırı Zinciri (Kaynak – Microsoft)

Badpilot kampanyası

BadPilot kampanyası, en az 2021’den beri aktif ve yüksek değerli hedeflere kalıcı erişim elde etmek için ağ cihazlarından ödün vermeye odaklanıyor.

Bu alt grup, internete bakan sistemlerde aşağıdakiler dahil olmak üzere çok sayıda güvenlik açıkından yararlandı:-

  • Microsoft Exchange (CVE-2021-34473)
  • Zimbra İşbirliği (CVE-2022-41352)
  • OpenFire (CVE-2023-32315)
  • JetBrains TeamCity (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • ConnectWise Screenconnect (CVE-2024-1709)
  • Fortinet Forticlient EMS (CVE-2023-48788)
  • JBOSS (kesin CVE bilinmiyor)
Seashell Blizzard Başlangıç ​​Erişim Alt Grubu Operasyonel Yaşam Döngüsü (Kaynak – Microsoft)

Bu istismarlar, Seasshell Blizzard’ın enerji, petrol ve gaz, telekomünikasyon, nakliye, silah üretimi ve uluslararası hükümetler dahil olmak üzere küresel olarak hassas sektörlere erişmesine izin verdi.

2024’ün başlarından beri, Badpilot alt grubu üç farklı sömürü tekniği kullanmıştır.

Atera Agent’ı yüklemek için screenconnect kullanımı (kaynak – Microsoft)

İlk olarak, genellikle Connectwise Screenconnect ve Fortinet Forticlient EMS’deki güvenlik açıklarından yararlandıktan sonra, kalıcılık ve komuta ve kontrol için Atera Agent ve Splashtop uzaktan hizmetleri gibi uzaktan yönetim ve izleme (RMM) süitleri kullanırlar.

İkincisi, hedefleri tanımlamak için üçüncü taraf tarama hizmetlerini kullanarak internete dönük sistemleri tehlikeye atmak için bilinen güvenlik açıklarından aktif olarak yararlanırlar.

Son olarak, bir sistemin içine girdikten sonra, bazı durumlarda yıkıcı saldırılarla sonuçlanan kimlik doğrulaması ve yanal hareket de dahil olmak üzere kapsamlı kontromise sonrası faaliyetlerde bulunurlar.

Badpilot kampanyası, özellikle Rus stratejik çıkarları için kritik sektörlerde olmak üzere dünya çapında kuruluşlar için önemli bir risk oluşturmaktadır.

Sonuç olarak, Seasshell Blizzard gibi tehdit aktörlerinin taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) anlamak ve azaltmak küresel ağları korumak için gereklidir.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free



Source link