Red Canary raporuna göre tehdit ortamı değişmeye ve gelişmeye devam ederken, saldırganların motivasyonları değişmiyor. Rakiplerin kullandığı klasik araçlar ve teknikler, bazı önemli istisnalar dışında tutarlı kalıyor.
Raporda, saldırganların yıl boyunca en sık kötüye kullandığı MITRE ATT&CK teknikleri takip edildi ve iki yeni ve dikkate değer giriş 2023'te ilk 10'a yükseldi: e-posta yönlendirme kuralı ve bulut hesapları.
Rakipler neden bulut hesaplarını kötüye kullanıyor?
Kuruluşlar e-posta, dosya depolama ve mesajlaşma gibi kritik üretkenlik uygulamaları için hizmet olarak yazılımı (SaaS) benimsedikçe bulut hesabı uzlaşmalarının yaygınlığı artıyor ve bu da önemli miktarda verinin artık bulutta depolanmasına neden oluyor. Bu değişim, geçmişte geleneksel uç noktalarda olduğu kadar bulut kimliklerinden ödün verilmesinde de değer bulan rakipler tarafından da yansıtılıyor.
Bulut hesapları, MITRE ATT&CK tekniği araştırmacılarının 2023'te tespit ettiği en yaygın dördüncü hesap oldu; 2022'de 46. sıradan yükseldi, tespit hacmi 16 kat arttı ve 2023'te 2022'ye göre üç kat daha fazla müşteriyi etkiledi.
Saldırganların e-posta hesaplarını ele geçirmesi, hassas iletişimleri arşiv klasörlerine ve kullanıcıların bakma ihtimalinin düşük olduğu diğer yerlere yönlendirmesi ve parayı suçlunun hesabına yeniden yönlendirerek maaş bordrosu veya banka havalesi hedeflerini değiştirmeye çalışması nedeniyle, kötü amaçlı e-posta yönlendirme kurallarına ilişkin tespitler neredeyse %600 arttı.
2023'te daimi favori tekniklerin kullanılmaya devam edildiğini gördük. Kimlik avı her zaman değişmeyen bir sorun olmaya devam ediyor ve bu yıl saldırganlar, kötü amaçlı veriler sunmak için kimlik avı e-postalarında çeşitli dosya türlerinden yararlanmaya devam etti. SEO zehirlenmesi ve kötü amaçlı reklamcılık, yerleşik kötü amaçlı yazılım ailelerinden ilham alan yeni tehditlerle birlikte popüler olmaya devam etti. Fidye yazılımı operatörlerinden devlet destekli tehditlere kadar, rakipler tarafından istismar edilen ve hem şirket içinde hem de tedarik zinciri içinde yama seviyelerini koruma ihtiyacını vurgulayan sürekli bir yeni güvenlik açıkları akışının olduğunu gördük.
Kimlik saldırıları
En önemli tehditlerin yarısı, kontrol edilmediği takdirde fidye yazılımı bulaşmasına yol açabilecek fidye yazılımı öncüleridir ve fidye yazılımları işletmeler üzerinde büyük bir etkiye sahip olmaya devam etmektedir.
Yazılımdaki yeni güvenlik açıkları dalgasına rağmen, bulut hizmeti API'lerine erişim, e-posta yönlendirme kurallarıyla maaş bordrosu dolandırıcılığı gerçekleştirme, fidye yazılımı saldırıları başlatma ve daha fazlasını gerçekleştirmek için kimlikler içeren, 2023'te de düşmanların yararlandığı temel güvenlik açığı insanlar olmaya devam etti.
Kuruluşlar buluta geçtikçe ve hassas bilgileri yönetmek ve bunlara erişmek için sayıları giderek artan SaaS uygulamalarına güvendikçe, kimlikler tüm bu sistemleri birbirine bağlayan bağlar haline geliyor. Düşmanlar, bu sistemlerin istedikleri bilgileri barındırdığını ve geçerli ve yetkili kimliklerin bu sistemlere girmenin en hızlı ve güvenilir yolu olduğunu kısa sürede öğrendi.
Araştırmacılar, üretken yapay zekanın ortaya çıkışı, uzaktan izleme ve yönetim (RMM) araçlarının kötüye kullanımının devam etmesi, SEO zehirlenmesi ve kötü amaçlı reklamcılık gibi web tabanlı yük dağıtımının yaygınlığı, artan yapay zeka ihtiyacı gibi tehdit ortamını etkileyen daha geniş birçok trende dikkat çekti. MFA kaçırma teknikleri ve yardım masası kimlik avı gibi küstah ama son derece etkili sosyal mühendislik planlarının hakimiyeti.
“En önemli 10 tehdit ve teknik yıldan yıla çok az değişiyor, dolayısıyla 2024 raporunda gördüğümüz sapma önemli. Bulut hesap ihlallerinin 46. sıradan 4. sıraya yükselişi, veri kümemizde benzeri görülmemiş bir durum ve bu, e-posta yönlendirme kurallarında da benzer bir hikaye,” dedi Red Canary Güvenlik Müdürü Keith McCammon.
“Bu saldırı tarzlarını birbirine bağlayan altın iplik kimliktir. Bulut hesaplarına ve SaaS uygulamalarına erişmek için, saldırganların bir tür kimlik veya kimlik bilgisinden taviz vermesi gerekir ve yüksek ayrıcalıklı olan bir tanesi, düşmana değerli hesaplara anlatılmamış erişim izni verebilir, bu da kurumsal kimliklerin ve kimlik sağlayıcıların güvenliğini sağlamanın kritik öneminin altını çizer,” diye devam etti McCammon.
MacOS, Microsoft ve Linux kullanıcılarının dikkat etmesi gereken yeni teknikler
2023'te araştırmacılar, yansıtıcı kod yükleme ve AppleScript'in kötüye kullanılması örneklerinin yanı sıra, macOS ortamlarında her zamankinden daha fazla hırsız etkinliği tespit etti.
PowerShell ve Windows Komut Kabuğu gibi birçok teknik varlığını sürdürürken, bazı ilginç farklılıklar da vardı:
- Saldırganlar, kurbanları yasal yazılım indirme kisvesi altında kötü amaçlı komut dosyaları çalıştırmaları için kandırmak amacıyla kötü amaçlı yükleyicileri Microsoft'un yeni MSIX paketleme aracıyla (genellikle mevcut masaüstü uygulamalarını güncellemek veya yenilerini yüklemek için kullanılır) derledi.
- Konteyner kaçışları; saldırganların konteyner çekirdeklerindeki ve çalışma zamanı ortamlarındaki güvenlik açıklarından veya yanlış yapılandırmalardan yararlanarak konteynerden “kaçması” ve ana sisteme bulaşması.
- Yansıtıcı kod yükleme, saldırganların macOS güvenlik kontrollerinden kaçmasına ve normalde güçlendirilmiş Apple uç noktalarında kötü amaçlı kod çalıştırmasına olanak tanıyor.
Rakipler dikeyleri hedeflemez; sistemleri hedef alıyorlar
Veriler, saldırganların, kurbanın sektörü veya endüstrisi ne olursa olsun, kuruluşlara karşı aynı küçük 10-20 ATT&CK tekniklerinden güvenilir bir şekilde yararlandığını gösteriyor. Ancak rakipler, belirli sektörlerde yaygın olan sistemleri ve iş akışlarını hedef alabilecek belirli araç ve teknikleri tercih ediyor:
- Sağlık hizmeti: Visual Basic ve Unix Shell, muhtemelen bu sektörde kullanılan farklı makine ve sistemler nedeniyle daha yaygındı.
- Eğitim: E-posta iletme ve gizleme kuralları, muhtemelen e-postaya olan yoğun bağımlılıktan dolayı daha yaygındı.
- Üretme: USB'ler gibi çıkarılabilir ortamlar aracılığıyla çoğaltma daha yaygındı; bunun nedeni büyük olasılıkla hava boşluklu veya sahte hava boşluklu fiziksel altyapıya ve eski sistemlere olan güvendi.
- Mali hizmetler ve sigorta: HTML kaçakçılığı ve Dağıtılmış Bileşen Nesne Modeli gibi daha az “belirgin” teknikler, muhtemelen kontrollere ve testlere daha fazla yatırım yapılması nedeniyle daha yaygındı.