Snowflake veri ambarı platformunda barındırılan müşteri hesaplarına yönelik son saldırılar, tehdit aktörleri arasında hizmet olarak yazılım (SaaS) uygulama ortamlarını hedeflemeye yönelik daha geniş bir değişimin sinyalini verebilir.
Yakın zamanda Zorunlu rapor olağan odağını genişleterek SaaS uygulamalarındaki kurumsal verilerin peşine düşmeye başlayan başka bir büyük tehdit aktörünün altını çizdi: Microsoft bulut ortamları ve şirket içi altyapı. Mandiant’ın UNC3944 olarak takip ettiği tehdit aktörü, diğer satıcıların çeşitli şekillerde takip ettiği, İngilizce konuşan bir gruptur. Dağınık ÖrümcekScatter Swine, Octo Tempest ve 0ktapus.
UNC3944: Tehlikeli Bir Siber Düşman
Grubun son zamanlardaki soygunları arasında çok sayıda kritik sistemi günlerce çevrimdışı duruma getiren bir fidye yazılımı saldırısı da yer alıyor. MGM Tatil Köyleri geçen yıl ve bunu hedefleyen bir yıl daha Sezar EğlencesiVerilerine tekrar erişim sağlamak için gruba milyonlarca dolar ödediği bildirildi. Muhtemelen ABD veya İngiltere merkezli tehdit aktörü, SIM değiştirme taktikleri Ve son derece gelişmiş kimlik avı becerilerihesapları devralmak için kurumsal yardım masalarını aramayı ve Okta kimlik bilgilerini sıfırlamayı içerir. Microsoft geçen yıl UNC3944’ü aşağıdakilerden biri olarak sınıflandırdı: en tehlikeli Mali motivasyona sahip siber tehdit grupları şu anda aktif.
Mandiant’a göre UNC3944, son 10 ay içinde odağını kurumsal SaaS uygulamalarındaki verilere genişletti.
Güvenlik sağlayıcısının analizine göre, “Geleneksel şirket içi faaliyetlere ek olarak Mandiant, istemci SaaS uygulamalarına geçişleri gözlemledi.” Bu saldırıların çoğunda tehdit aktörü, Okta gibi tek oturum açma sağlayıcıları tarafından korunan SaaS uygulamalarına erişmek için çalıntı kimlik bilgilerini kullandı. “Mandiant, vCenter, CyberArk, Salesforce, Azure, CrowdStrike, AWS ve Google Cloud Platform gibi uygulamalara yetkisiz erişim gözlemledi.”
Tehdit aktörü, bu ortamlara erişim sağladıktan sonra Microsoft 365 ortamlarındaki verileri aramak için Microsoft’un Delve’si de dahil olmak üzere çeşitli yöntemleri kullanarak genellikle en azından bir miktar keşif etkinliği gerçekleştirmiştir. Tehdit aktörü daha sonra bu uygulamalardan veri çaldı ve verileri Airbyte, Fivetran ve diğer bulut senkronizasyon yardımcı programlarını kullanarak Amazon S3 klasörleri gibi bulut depolama kaynaklarına aktardı.
Mandiant araştırmacıları, “Bu uygulamalar, genellikle bir aboneliğe veya pahalı maliyetlere gerek kalmadan, verileri harici bir kaynağa otomatik olarak senkronize etmek için yalnızca kimlik bilgilerine ve kaynaklara giden bir yola ihtiyaç duyuyordu.” dedi.
Gelişmiş Sosyal Mühendislik Taktikleri
Kimlik avı ve sosyal mühendislik, kurumsal SaaS hesaplarına erişim için kimlik bilgileri edinmek amacıyla grubun birincil yöntemlerinden biri olmaya devam ediyor. Mandiant’ın gözlemlediği saldırılarda UNC3944 aktörleri Masa personeline yardımcı olmak için anlaşılır İngilizce sesli aramalar ayrıcalıklı hesaplara erişim kazanma konusunda yardımlarını almak için. Bu aramaların çoğunda, saldırganın, yardım masası yöneticisinin ilk kullanıcı kimlik doğrulama kontrollerini geçmek için gereken ayrıntılı kişisel bilgilere (kurbanın Sosyal Güvenlik numarasının son dört hanesi, doğum tarihleri ve yönetici bilgileri gibi) sahip olduğu görüldü.
Mandiant araştırmacıları, “Bu sosyal mühendislik saldırılarındaki karmaşıklık düzeyi, hem potansiyel kurbanlar üzerinde gerçekleştirilen kapsamlı araştırmalarda hem de söz konusu saldırılardaki yüksek başarı oranında açıkça görülüyor.” dedi.
Mandiant’ın raporu, UNC3944’ün kurban ortamlarında yeni sanal makineler oluşturmasının özellikle etkili bir kalıcılık mekanizması olduğunu vurguladı. Tehdit aktörünün çalışma yöntemi, VMware vSphere ve Microsoft Azure bulut ortamlarına erişmek için tek oturum açma (SSO) uygulamalarını kullanmaktır.
Rapora göre, “Burada önemli olan, SSO uygulamaları aracılığıyla bağlanan idari grupların veya normal yönetici izinlerinin kötüye kullanılmasının gözlemlenmesi ve daha sonra bu kalıcılık yönteminin yaratılmasıdır.”
Kalıcılık için VM’lerden yararlanma
Tehdit aktörü, yeni bir sanal makine oluşturduktan sonra, adli soruşturmada kullanılabilecek varsayılan Microsoft Defender korumalarını ve telemetriyi kaldırmak üzere VM’leri yeniden yapılandırmak için belirli araçlar kullandı. Güvenliği ihlal edilen ortamın herhangi bir uç nokta izleme özelliğinin bulunmadığı durumlarda, tehdit aktörü yeni VM’lere, Mimikatz ve ADRecon gibi kimlik bilgisi çıkarma yardımcı programları ve NGROK ve RSOCX gibi tünel oluşturma araçları dahil olmak üzere birden fazla araç indirdi. Mandiant’a göre bu tür araçlar, UNC3944’ün herhangi bir çok faktörlü kimlik doğrulama (MFA) veya VPN gerektirmeden sanal makineye erişmesine olanak tanıyor.
Mandiant’ın kuruluşlara yönelik önerileri arasında VPN erişimi için ana bilgisayar tabanlı sertifikaların ve MFA’nın kullanılması ve bir bulut kiracısının içinde görünenleri sınırlamak için katı koşullu erişim politikaları oluşturulması yer alıyor.
Rapora göre Mandiant, “SaaS uygulamalarının, özellikle hem çalışma süresi hem de yeni cihazların oluşturulmasıyla ilgili önemli SaaS tabanlı uygulamalardan, MFA yeniden kayıtlarından ve sanal makine altyapısından gelen günlüklerin merkezileştirilmesini içerecek şekilde daha yüksek düzeyde izlenmesini” öneriyor.