Bilgisayar korsanları, değerli kişisel ve finansal bilgiler içerdikleri için e-posta hesaplarını hedef alır. Başarılı e-posta ihlalleri, tehdit aktörlerinin şunları yapmasını sağlar: –
Microsoft Tehdit İstihbaratı ekibindeki siber güvenlik araştırmacıları yakın zamanda Rus devlet destekli aktör Star Blizzard’ın (aka SEABORGIUM, COLDRIVER, Callisto Group) karmaşıklığını artırdığını ve devam eden saldırılarda kullanmak üzere yeni kaçınma teknikleri geliştirdiğini açıkladı.
Star Blizzard, e-posta kimlik bilgileri hırsızlığına odaklanarak 2022’den bu yana kaçırma tekniklerini geliştirdi ve Rusya’nın çıkarlarıyla uyumlu aşağıdaki varlıkları hedef alıyor: –
- Uluslararası ilişkiler
- Savunma
- Ukrayna için Lojistik
- Akademi
Microsoft, hedef odaklı kimlik avına karşı savunmayı geliştirmektedir ve aşağıdaki küresel siber güvenlik iş ortaklarıyla olan işbirliğinden dolayı minnettardır:-
Yeni TTP’ler
Aşağıda, Microsoft Tehdit İstihbaratı ekibindeki siber güvenlik analistleri tarafından belirlenen tüm yeni TTP’lerden bahsettik: –
- Otomatik taramayı önlemek için sunucu tarafı komut dosyalarının kullanılması
- E-posta pazarlama platformu hizmetlerinin kullanımı
- Aktör tarafından kontrol edilen etki alanı altyapısını çözmek için bir DNS sağlayıcısının kullanılması
- Parola korumalı PDF, bulut tabanlı dosya paylaşım platformlarına bağlantı verir veya bu platformlara bağlantı sağlar
- Aktör kayıtlı alanlar için DGA’yı rastgele hale getirme
Rus Yıldızı Blizzard Saldırı Zinciri
Star Blizzard, bulut tabanlı sağlayıcıları tercih ederek e-posta kimlik bilgileri hırsızlığına odaklanıyor. E-posta ve özel PDF tuzakları aracılığıyla hedef odaklı kimlik avına güvenerek Evilginx çerçevesini kullanmaya devam ediyorlar.
Aktör kontrollü altyapıya yönlendirme, özel VPS çiftlerini ve hedef e-posta sağlayıcıları için Evilginx’in “phishlet” ile tutarlı kullanımını içerir.
Bu alanlardaki bağlantılı kullanıcılar ve kuruluşlar potansiyel Star Blizzard hedefleridir: –
- Hükümet veya diplomasi
- Rusya ile ilgili olduğunda savunma politikası veya uluslararası ilişkiler üzerine araştırma.
- Rusya ile devam eden çatışmayla ilgili olarak Ukrayna’ya yardım.
E-postalar, Proton e-posta hesapları (@proton.me, @protonmail.com) aracılığıyla bilinen kişileri taklit eder ve ilk mesaj, belgenin incelenmesini talep eder, ancak belgeye herhangi bir ek veya bağlantı sağlamaz.
Yanıtın ardından, takip, yanıltıcı içerik etkinleştirme düğmesiyle okunamayacak bir PDF dosyası veya bulutta barındırılan bir PDF’ye bağlantı içerir.
PDF düğmesine basıldığında bir bağlantı açılır ve yeniden yönlendirme zinciri başlatılır. “Dokümanlar” sayfası, ardından bir CAPTCHA görüntülenir ve ardından Oturum Açma ekranı, kullanıcı adı alanında hedeflenen e-postayı görüntüler.
Ana bilgisayar etki alanı, beklenen sunucu etki alanı değil, aktör tarafından kontrol edilir. Parola girişi bir kimlik doğrulama isteğini tetikler.
Onaylanırsa hesabın güvenliği ihlal edilir ve ardından tehdit aktörü, güvenliği başarıyla ihlal edilen kimlik bilgileriyle tam erişim elde eder.
Öneriler
Siber güvenlik araştırmacılarının sunduğu tüm önerilerden aşağıda bahsettik: –
- Gelişmiş kimlik avı önleme çözümlerini kullandığınızdan emin olun.
- EDR’yi her zaman blok modunda çalıştırın.
- Tam otomatik modda, incelemeyi ve düzeltmeyi her zaman yapılandırın.
- Microsoft Defender Antivirus’te bulut tarafından sağlanan korumayı ve otomatik örnek gönderimini açtığınızdan emin olun.
- Temel ilkeler kümesi olarak her zaman güvenlik varsayılanlarını kullanın.
- Sürekli erişim değerlendirmesi şarttır.
- Tüm şüpheli veya anormal faaliyetler sürekli olarak izlenmelidir.
- Tıklandığında bağlantıları yeniden kontrol etmek için Office 365 için Microsoft Defender’ın doğru yapılandırıldığından emin olun.
- Office 365 için Microsoft Defender’da Saldırı Simülatörünü kullandığınızdan emin olun.
- Kullanıcıları her zaman Microsoft Defender SmartScreen’i destekleyen web tarayıcılarını kullanmaya teşvik edin.
- Yürütülebilir dosyaların çalıştırılmasını engelleyin.
- Potansiyel olarak gizlenmiş komut dosyalarının yürütülmesini engelleyin.