Tehdit aktörleri, kimlik avı saldırılarında bireyleri hassas bilgileri ifşa etmeleri için kandırmak amacıyla güvenilir varlıkların kimliğine bürünür.
Kimlik avı saldırıları, sahte e-postalar ve sahte web sitelerine yönlendiren kötü amaçlı bağlantılar içeren mesajlar yoluyla gerçekleştirilir. Sadece bu da değil, kimlik avı, çeşitli türleri ile siber tehditlerin en baskın biçimlerinden biri olmaya devam ediyor.
Microsoft Tehdit İstihbaratı araştırmacıları yakın zamanda silah haline getirilmiş RDP dosyalarını kullanan devasa bir Midnight Blizzard Phishing saldırısını keşfetti.
Rusya Dış İstihbarat Teşkilatı (SVR) bünyesinde faaliyet gösteren Rus siber tehdit grubu Midnight Blizzard (“APT29”, “UNC2452” ve “Cozy Bear”), 22 Ekim 2024’te karmaşık bir “siber casusluk kampanyası” başlattı.
Bu casusluk kampanyası birden fazla sektörü hedefliyor: –
- Devlet kurumları
- Akademik kurumlar
- Savunma kuruluşları
- Sivil toplum kuruluşları (STK’lar)
Tehdit aktörleri, kurbanları açıldığında saldırgan tarafından kontrol edilen sunuculara bağlayan kötü amaçlı “RDP yapılandırma dosyaları” (.RDP dosyaları) içeren hedef odaklı kimlik avı e-postaları kullandı.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Kampanyanın ayırt edici özellikleri arasında meşru görünmek için Microsoft çalışanlarının kimliğine bürünme, bulut hizmet sağlayıcılarının güven ilişkilerinin kötüye kullanılması ve “FOGGYWEB” ve “MAGICWEB” gibi özel kötü amaçlı yazılımların dağıtılması yer alıyor.
.webp)
Tüm bu kötü amaçlı yazılımlar özellikle kritik bir kimlik doğrulama sistemi olan “Active Directory Federasyon Hizmetleri”ni (AD FS) hedef alıyor.
Tehdit aktörünün taktikleri aynı zamanda “tedarik zincirlerini” riske atarak meşru kimlik bilgilerini çalmayı ve “şirket içi ağlardan bulut ortamlarına yanal olarak geçmeyi” de içeriyor; bu da başta “Amerika Birleşik Devletleri” ve “ABD” olmak üzere 100’den fazla kuruluştaki binlerce hedefi etkiliyor. Avrupa.”
Bu kampanya, Ukrayna’nın “CERT-UA” (UAC-0215 olarak) ve “Amazon” tarafından bağımsız olarak onaylanmıştır ve “imzalı RDP yapılandırma dosyalarının” kullanılması yoluyla bu grup için bilinmeyen bir yaklaşımı temsil etmektedir ve kalıcı istihbaratta bir evrime işaret etmektedir. 2018 yılına kadar uzanan toplama operasyonları.
Bu kötü niyetli kampanyada tehdit aktörleri, “Microsoft”, “Amazon Web Services” (AWS) ve “Sıfır Güven güvenlik konseptlerini” taklit eden yanıltıcı e-postalar kullanarak 100’den fazla kuruluştaki binlerce kullanıcıyı hedef aldı.
Kötü amaçlı dosyalar, “yerel sabit sürücüler”, “pano içerikleri”, “yazıcılar”, “çevresel aygıtlar”, “ses sistemleri” ve “Windows kimlik doğrulama özellikleri” (‘akıllı kartlar’ dahil) gibi hassas verileri açığa çıkaran kaynakların çift yönlü eşlenmesini sağlar. ve ‘Windows Merhaba kimlik bilgileri’).
Bu erişim, tehdit aktörlerinin AutoStart klasörlerine potansiyel olarak “kötü amaçlı yazılım”, “RAT” yüklemesine ve RDP oturumları sonlandırıldıktan sonra bile kalıcı sistem erişimini sürdürmesine olanak tanıdı.
Kampanya, “Birleşik Krallık”, “Avrupa”, “Avustralya” ve “Japonya”daki kuruluşlara odaklanmayı hedefledi.
Burada tehdit aktörleri, bu kimlik avı e-postalarını dağıtmak için diğer kuruluşların daha önce güvenliği ihlal edilmiş meşru e-posta adreslerinden yararlanıyor ve bu da kampanyanın hedefler için daha güvenilir görünmesini sağlıyor.
Tehdit aktörleri, RDP bağlantısının yapılandırma ayarlarından yararlanarak, şifre anahtarları ve güvenlik anahtarları kullanarak “bağlı ağ sürücüleri”, “Hizmet Noktası (POS) cihazları”, “web kimlik doğrulama mekanizmaları” gibi birden fazla sistem bileşenine erişim elde etti.
Bu, tehdit aktörlerinin ilk saldırının ardından da devam edebilecek kapsamlı bir sistem uzlaşmasını etkili bir şekilde oluşturmasına yardımcı olur.
Azaltmalar
Aşağıda tüm azaltımlardan bahsettik: –
- İşletim ortamı yapılandırmasını güçlendirdiğinizden emin olun.
- Uç nokta güvenlik yapılandırmasını her zaman güçlendirin.
- Antivirüs yapılandırmasını güvenli ve sağlam hale getirin.
- Microsoft Office 365 ayarlarını bir kez daha kontrol edin ve güvenli hale getirin.
- Güvenli e-posta güvenliği yapılandırması gereklidir.
- Kullanıcı eğitimi yapın.
IoC’ler
E-posta gönderen alan adları:
sellar[.]co.uk
townoflakelure[.]com
totalconstruction[.]com.au
swpartners[.]com.au
cewalton[.]com
RDP dosya adları:
AWS IAM Compliance Check.rdp
AWS IAM Configuration.rdp
AWS IAM Quick Start.rdp
AWS SDE Compliance Check.rdp
AWS SDE Environment Check.rdp
AWS SDE Environment Check.rdp
AWS Secure Data Exchange – Compliance Check.rdp
AWS Secure Data Exchange Compliance.rdp
Device Configuration Verification.rdp
Device Security Requirements Check.rdp
IAM Identity Center Access.rdp
IAM Identity Center Application Access.rdp
Zero Trust Architecture Configuration.rdp
Zero Trust Security Environment Compliance Check.rdp
ZTS Device Compatibility Test.rdp
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!