Araştırmacılar, tehdit aktörlerinin çalıntı, geçerli kimlik bilgilerini kullanarak büyük ölçekli bir kampanyada yüzden fazla SonicWall SSLVPN hesabını ele geçirdiği konusunda uyarıyor.
Saldırganlar bazı durumlarda bağlantıyı kısa bir süre sonra kesse de bazı durumlarda ağ taramaları gerçekleştirerek yerel Windows hesaplarına erişmeye çalıştılar.
Yönetilen siber güvenlik platformu Huntress’in birden fazla müşteri ortamında gözlemlediği üzere, bu faaliyetlerin çoğu 4 Ekim’de başladı.
Araştırmacılar, “Tehdit aktörleri, güvenliği ihlal edilmiş cihazlarda birden fazla hesapta hızla kimlik doğrulaması yapıyor” dedi ve şunu ekledi: “Bu saldırıların hızı ve ölçeği, saldırganların kaba kuvvet kullanmak yerine geçerli kimlik bilgilerini kontrol ediyor gibi göründüğünü gösteriyor.”
Saldırılar, Huntress’in koruduğu 16 ortamda 100’den fazla SonicWall SSLVPN hesabını etkiledi; bu, 10 Ekim’de hala devam eden önemli ve yaygın bir kampanyaya işaret ediyor.
Çoğu durumda, kötü amaçlı istekler 202.155.8 IP adresinden kaynaklanmaktadır.[.]Araştırmacılar, 73 dedi.
Kimlik doğrulama adımının ardından Huntress, tehdit aktörü çok sayıda yerel Windows hesabına erişmeye çalışırken saldırının keşif ve yanal hareket adımlarına özgü etkinliği gözlemledi.
Huntress, gözlemledikleri çok sayıda güvenlik ihlali ile tüm bulut yedekleme müşterilerinin güvenlik duvarı yapılandırma dosyalarını açığa çıkaran son SonicWall ihlali arasında bağlantı kuran bir kanıt bulamadıklarının altını çiziyor.
Oldukça hassas veriler içerdikleri için bu dosyalar kodlanır ve içindeki kimlik bilgileri ve sırlar, AES-256 algoritması kullanılarak ayrı ayrı şifrelenir.
Ağ güvenlik şirketi, saldırganın dosyaların kodunu çözebileceğini ancak kimlik doğrulama parolalarını ve anahtarlarını şifrelenmiş biçimde görebileceğini açıkladı.
BleepingComputer, Huntress araştırmacılarının gözlemlediği aktivite hakkında yorum almak için SonicWall ile temasa geçti ancak henüz bir açıklama yapılmadı.
SonicWall’un güvenlik kontrol listesine göre sistem yöneticilerinin aşağıdaki koruyucu adımları atması gerekiyor:
- Tüm yerel kullanıcı şifrelerini ve geçici erişim kodlarını sıfırlayın ve güncelleyin
- LDAP, RADIUS veya TACACS+ sunucularındaki şifreleri güncelleme
- Tüm IPSec siteden siteye ve GroupVPN ilkelerindeki gizli dizileri güncelleyin
- L2TP/PPPoE/PPTP WAN arayüzü şifrelerini güncelleyin
- L2TP/PPPoE/PPTP WAN arayüzlerini sıfırlayın
Huntress, ihtiyaç duyulmadığında WAN yönetimini ve uzaktan erişimi derhal kısıtlamak ve tüm sırlar döndürülene kadar HTTP, HTTPS, SSH ve SSL VPN’yi devre dışı bırakmak veya sınırlamak gibi ek önlemler önerir.
Harici API anahtarları, dinamik DNS ve SMTP/FTP kimlik bilgileri de iptal edilmeli, güvenlik duvarı ve yönetim sistemleriyle ilgili otomasyon sırları geçersiz kılınmalıdır.
Tüm yönetici ve uzak hesaplar çok faktörlü kimlik doğrulamayla korunmalıdır. Hizmetin yeniden tanıtılması, her adımda şüpheli etkinliğin gözlemlenmesi için aşamalı bir şekilde gerçekleştirilmelidir.
Katılın İhlal ve Saldırı Simülasyon Zirvesi ve deneyimleyin güvenlik doğrulamanın geleceği. En iyi uzmanlardan bilgi alın ve nasıl olduğunu görün Yapay zeka destekli BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın