MuddyWater olarak da bilinen ünlü bilgisayar korsanlığı grubu Seedworm’un, karmaşık kötü amaçlı yazılım saldırıları düzenlemek için yasal uzaktan izleme ve yönetim (RMM) araçlarından yararlandığı tespit edildi.
Bu açıklama, siber suçluların geleneksel güvenlik önlemlerini atlatmak için güvenilir yazılımlardan yararlanma taktiklerinde önemli bir değişimin altını çiziyor.
Broadcom yakın zamanda kötü şöhretli Seedworm grubunun, hedefe yönelik bir hedef odaklı kimlik avı kampanyası yürütmek için Atera Agent yazılımındaki bir güvenlik açığından yararlandığını belirten bir makale yayınladı.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Seedworm, yaygın olarak kullanılan bir RMM aracı olan Atera Agent’ı 30 günlük ücretsiz deneme süresinden yararlanarak akıllıca yönlendirdi.
Bilgisayar korsanları, güvenliği ihlal edilmiş e-posta hesaplarını kullanan aracıları kaydederek hedeflenen sistemlere sınırsız uzaktan erişim elde eder.
Bu strateji, genellikle kötü niyetli etkinliklerin tespit edilmesine yol açan ortak bir ayak izi olan komuta ve kontrol altyapılarını kurmalarına gerek kalmadan çalışmalarına olanak tanır.
Atera’nın aracı, tümü kullanıcı dostu bir web arayüzü aracılığıyla erişilebilen dosya yükleme/indirme, etkileşimli kabuk erişimi ve yapay zeka destekli komut yardımı dahil olmak üzere güçlü yetenekler sunar.
Bu özellikler meşru idari kolaylık sağlamak için tasarlanmış olsa da siber suçluların eline güçlü araçlar da sağlıyor.
Dağıtım ve Enfeksiyon Taktikleri
Tehdit aktörleri, hedefli e-postaların alıcıları kötü amaçlı dosyaları yürütmeleri için kandırdığı hedef odaklı kimlik avı kampanyaları yoluyla RMM yükleyicilerini dağıtır.
Bu e-postalar, yasal yazılım güncellemeleri veya gerekli indirmeler gibi görünen, RMM yükleyicilerinin depolandığı ücretsiz dosya barındırma platformlarına bağlantılar içerir.
Dosya Tabanlı Tehditler:
- PUA.Gen.2
- Trojan.Malmsi
- WS.Malware.1
Makine Öğrenimi Tabanlı Tespit:
Ağ Tabanlı İzleme:
- Denetim: Atera Müşteri Etkinliği
Web Tabanlı Güvenlik:
- Bu kampanyaya bağlı alan adları ve IP’ler, WebPulse özellikli tüm ürünlerde çeşitli güvenlik kategorileri altında izlenmekte ve engellenmektedir.
Önleyici tedbirler
Bu tür karmaşık tehditlere karşı korunmak için kuruluşlara ve bireylere aşağıdaki önleyici stratejileri benimsemeleri tavsiye edilir:
- Düzenli Yazılım Güncellemeleri: Tüm yazılımların, özellikle de RMM araçları gibi yaygın olarak kullanılan uygulamaların en son güvenlik yamalarıyla güncel olduğundan emin olun.
- Gelişmiş E-posta Güvenliği: Hedef odaklı kimlik avı girişimlerini tespit etmek ve engellemek için gelişmiş e-posta filtreleme çözümleri uygulayın.
- Çalışan Farkındalık Eğitimi: Düzenli eğitim oturumları, başarılı hedef odaklı kimlik avı saldırılarının riskini önemli ölçüde azaltabilir.
- Saygın Güvenlik Çözümlerinin Kullanımı: Gerçek zamanlı izleme, makine öğrenimi tabanlı anormallik tespiti ve web güvenliği hizmetlerini içeren kapsamlı güvenlik çözümlerini kullanın.
Atera gibi meşru araçların Seedworm gibi gruplar tarafından kullanılması, siber tehdit taktiklerinde önemli bir evrimi temsil ediyor ve dijital çağda sürekli dikkat ve gelişmiş güvenlik önlemlerine olan ihtiyacın altını çiziyor.
Kuruluşların, kritik verilerini ve altyapılarını bu karmaşık siber düşmanlardan korumak için proaktif güvenlik uygulamaları ve güçlü savunma mekanizmalarıyla bu tür tehditlerin önünde durması gerekiyor.
Free Webinar: Mastering Web Application and API Protection/WAF ROI Analysis - Book Your Spot