Rus istihbarat servislerine (SVR) bağlı tehdit grubu ve SolarWinds ile Microsoft ve HPE gibi kuruluşlara yönelik saldırıların arkasındaki kuruluş olan “Midnight Blizzard”, hedef kuruluşlardaki bulut ortamlarına erişmek için otomatik bulut hizmetleri hesaplarından ve atıl hesaplardan yararlanıyor.
Saldırılar, tehdit aktörünün (APT29, Cozy Bear ve Dukes olarak da bilinir) geleneksel olarak hedeflediği sektörlerdeki kuruluşlar tarafından bulut hizmetlerinin artan şekilde benimsenmesine uyum sağlaması açısından taktiklerinde önemli bir değişikliğe işaret ediyor.
Önemli Bir Değişim
Pazartesi günü yapılan bir danışma toplantısında İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC)ile işbirliği içinde ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve diğer ülkelerdeki benzerleri, Midnight Blizzard’ın taktiklerindeki değişim ve kuruluşların tehdit aktörünün bulut ortamlarına ilk erişim kazanmasını önleme ihtiyacı konusunda uyarıda bulundu.
Tehditlere karşı hafifletme önerilerinde bulunurken, “Bulut altyapısına geçen kuruluşlar için, SVR gibi bir aktöre karşı ilk savunma hattı, ilk erişim için SVR’nin TTP’lerine karşı koruma sağlamak olmalıdır” dedi.
ABD ve diğerleri Midnight Blizzard’ı, en az 2009’dan bu yana aktif olan bir tehdit aktörü olan Rusya’nın SVR’sine büyük bir güvenle bağladı. Grup, başlangıçta devlet kurumlarına, düşünce kuruluşlarına ve kuruluşlara yönelik istihbarat toplama saldırılarıyla dikkatleri üzerine çekti. sağlık ve enerji alanında. Son yıllarda ve özellikle SolarWinds saldırısından bu yana Midnight Blizzard, yazılım tedarik zinciri, sağlık araştırmaları, kolluk kuvvetleri, havacılık ve askeri endüstrilerdekiler de dahil olmak üzere çok sayıda başka kuruluşu hedef aldı. Son zamanlarda Microsoft ve HPE tehdit aktörünü suçladı ilgili kurumsal e-posta ortamlarına sızmak ve üst düzey liderlere ve kilit personele ait e-postalara erişmek için.
Midnight Blizzard, önceki saldırılarının çoğunda, hedef kuruluşun şirket içi BT altyapısına ilk erişimi sağlamak için yazılımdaki güvenlik açıklarından ve diğer ağ zayıflıklarından yararlandı. Ancak hedeflerinin çoğunun bulutta yerel ve bulutta barındırılan ortamlara kaymasıyla tehdit aktörü, bulut hizmetlerini de yönlendirmek ve hedeflemek zorunda kaldı. NCSC, “Kurbanların bulutta barındırılan ağlarının çoğunluğuna erişmek için aktörlerin öncelikle bulut sağlayıcısında başarılı bir şekilde kimlik doğrulaması yapması gerekiyor” dedi.
Hedefleme Hizmeti ve Etkin Olmayan Hesaplar
Midnight Blizzard’ın bu hedefe ulaşmak için kullandığı yaygın taktiklerden biri, bulut hizmeti hesaplarına erişim sağlamak için kaba kuvvet tahmin etme ve parola püskürtme saldırılarını kullanmaktır. Bunlar genellikle bulut uygulamalarını ve hizmetlerini yönetmek için otomatikleştirilmiş, insan dışı hesaplardır. NCSC, bu tür hesapların iki faktörlü kimlik doğrulama mekanizmalarıyla kolayca korunamayacağını ve bu nedenle başarılı bir uzlaşma ve ele geçirmeye karşı daha duyarlı olduklarını söyledi.
Ancak tehdit aktörlerinin bu hesapları ele geçirmesini özellikle sorunlu hale getiren başka bir sorun daha var. NCSC, “Bu hesaplara erişim kazanmak, tehdit aktörlerine daha fazla operasyon başlatmak için bir ağa ayrıcalıklı ilk erişim olanağı sağlıyor” uyarısında bulundu. Bu saldırıların çoğunda, tehdit aktörleri parola sprey saldırılarını başlatmak için meşru konut IP adreslerini kullandılar ve bu da savunucuların etkinliğin ne olduğunu tespit etmesini zorlaştırdı.
Tavsiye belgesinde, Midnight Blizzard’ın hedef bulut ortamına ilk erişim elde etmek için kullandığı bir diğer taktiğin, artık kurban bir kuruluşta çalışmayan ancak hesapları sistemde kalabilecek kullanıcılara ait atıl hesaplardan yararlanmak olduğu belirtildi. Bazen tehdit aktörü, etkin olmayan hesaplarda oturum açarak ve parolayı sıfırlama talimatlarını izleyerek, başlatılmış olabileceği bir ağa yeniden erişim elde etmiştir.
Kimlik Doğrulama Belirteçlerinin Kötüye Kullanılması
Midnight Blizzard’ın ilk bulut erişimi için kullandığı diğer taktikler arasında yasa dışı olarak elde edilen OAuth jetonları kurban hesaplarına şifre gerektirmeden erişmek ve kalıcılığı sürdürmek için, ayrıca sözde MFA bombalaması veya MFA yorgunluğu Kurbanların hedef hesapta kimliklerini doğrulamasını sağlamaya yönelik saldırılar. Tehdit aktörü bir bulut ortamına erişim elde ettiğinde, kalıcı erişim elde etmek için genellikle kendi cihazını bu ortama kaydeder.
NCSC, tehdidi azaltmak ve şifre ihlalinin etkisini azaltmak için kuruluşların ellerinden geldiğince çok faktörlü kimlik doğrulamayı kullanması gerektiğini söyledi. İkinci bir kimlik doğrulama faktörünün kullanılmasının zor olabileceği durumlarda kuruluşlar, hizmet hesaplarını korumak için güçlü parolalar oluşturmalıdır. NCSC ayrıca kuruluşların bu kuralları uygulamasını tavsiye etti. en az ayrıcalık ilkesi hizmet hesapları için, bir saldırganın bir hesabı kötüye kullanarak yapabileceklerini sınırlamak.
Ayrıca, tavsiye niteliğindeki belge, tehdit aktörünün çalınan bir jetonla yapabileceklerini sınırlamak için kimlik doğrulama jetonlarının oturum ömürlerinin “uygulanabilir olduğu kadar kısa” tutulmasını ve cihaz kayıt politikalarının, yetkisiz cihazların bulut ortamına kaydedilmesine izin vermediğinden emin olunmasını savundu.
Danışmanlık belgesinde, “Geçerli hizmet hesapları gibi görünen ancak hiçbir zaman meşru hizmetler tarafından kullanılmayan Kanarya hizmet hesapları oluşturulmalıdır” dedi. Bu tür hesapların kötüye kullanılması, derhal araştırılması gereken yetkisiz erişimin açık bir işaretidir.