Google Tehdit İstihbarat Grubu, “0ktapus”, “Octo Tempest” ve “dağınık örümcek” gibi takma adlarla da bağlantılı olan tehdit oyuncusu UNC3944 tarafından düzenlenen son derece gelişmiş bir siber operasyon ortaya çıkardı.
Bu finansal olarak motive olmuş grup, perakende, havayolları ve sigorta dahil olmak üzere sektörlere odaklanmasını yoğunlaştırdı ve geleneksel yazılım güvenlik açıklarına güvenmeden sosyal mühendisliği organizasyonlara sızmak için kullanan titiz bir oyun kitabı kullandı.
UNC3944, çalışanları veya yöneticileri agresif telefon tabanlı taktiklerle taklit ederek, BT yardım masalarını Active Directory şifrelerini sıfırlamaya ikna ederek, kullanıcı hesaplarına ilk erişim sağlayarak ihlalleri başlatır.
Bu insan merkezli yaklaşım, aktörlerin “vSphere Admins” veya “ESX Admins” gibi ayrıcalıklı grupları tanımlamak için SharePoint siteleri ve şifre tonozları gibi iç kaynaklarda keşif yapmalarını sağlayarak sağlam güvenlik önlemlerini atlatıyor.
Artan ayrıcalıklar güvence altına alındıktan sonra, grup VMware vSphere ortamlarına döner ve hipervizörler üzerinde kontrol kazanmak ve fidye yazılımlarını doğrudan yönetim düzleminden dağıtmak için Microsoft Active Directory ile entegrasyondan yararlanır.
Kritik altyapıyı hedefler
Bu kampanyada, UNC3944, tespit edilebilir uzlaşma göstergelerini en aza indirmek için meşru idari araçları manipüle ederek bir “toprak yaşamı” metodolojisine bağlıdır.
VCenter sunucusundan ödün verdikten sonra, saldırganlar bir kök kabuğuna erişmek için cihazı yeniden başlatarak, şifreli komut ve kontrol kanalları için Teleport gibi araçlar aracılığıyla kalıcı arka kapı sağlıyor.
Bu, etki alanı denetleyicileri gibi kritik sanal makineleri güçlendirerek ve NTDS.DIT veritabanı gibi hassas verileri püskürtmek için disklerini yetim VM’lere monte ederek çevrimdışı kimlik hırsızlığını kolaylaştırır.
Operasyon, SSH üzerinden ESXI ana bilgisayarlarına itilen özel ikili dosyaları kullanarak hipervizör düzeyinde şifrelemeyle sonuçlanmadan önce, işleri ve depoları silerek, kurbanların iyileşememesini sağlayarak yedeklemelere uzanır.
Etkinlik, uç nokta algılama ve yanıt araçlarının genellikle ESXI hipervizörlerini veya vCenter cihazlarını izleyemediği sanallaştırma katmanlarında sınırlı görünürlükten kaynaklanmaktadır ve bu da tüm saldırı zincirinin fidye yazılımı dağıtımına ilk erişimden günler yerine saatler içinde ortaya çıkmasına izin verir.
Gelişen tehdit manzarası
Google Bulut Raporuna göre, bu tehditlere karşı koymak için kuruluşlar, proaktif sertleştirmeyi, kimlik izolasyonunu ve gelişmiş tespiti vurgulayan çok sütunlu bir savunma stratejisi benimsemelidir.
Anahtar hafifletmeler, vCenter oturum açmaları için kimlik avına dayanıklı çok faktörlü kimlik doğrulamanın uygulanmasını, VSphere kilitleme modunun doğrudan ESXI erişimini kısıtlamasını ve disk değiştirme saldırılarına karşı koruma sağlamak için VM şifrelemesinin uygulanmasını içerir.
VCenter olaylarından, ESXI denetim günlüklerinden ve standart ana bilgisayar günlüklerinden elde edilen merkezi günlüğü, beklenmedik VM yeniden yapılandırmaları veya Active Directory’deki grup üyelik değişiklikleri gibi anomalileri tespit etmek için çok önemlidir.
Örneğin, VMReconfiguredEvent gibi vCenter olaylarının izlenmesi, yetkisiz disk eklerini ortaya çıkarabilirken, yedekleme ile ilgili gruplarda yapılan değişiklikler için AD olay kimliğinde 4728’de uyarılmak sabotajı önler.
Mimari bütünlük hayati önem taşır: değişmez depolarla ayrı alanlarda yedekleme altyapısının izole edilmesi, UNC3944 tarafından sömürülen güven zincirlerini kırar ve sanallaştırılmış ortamın dışındaki kimlik sağlayıcılarını barındırarak kimlik doğrulama döngülerinden kaçınarak esnekliği artırır.
Bu taktiklerin UNC394’ün ötesinde diğer fidye yazılımı gruplarına çoğalması, vSphere’e bağımlı varlıkların güvenlik duruşlarını yeniden değerlendirme aciliyetinin altını çizmektedir.
Son nokta güvenliği gibi geleneksel savunmalar, hipervizör düzeyinde operasyonlara karşı yetersizdir, bu da yapılandırmanın sürüklenmesiyle mücadele etmek ve ExecInstalledonly gibi kontrollerin uygulanmasını sağlamak için sürekli duruş yönetim araçlarını gerektirir.
Active Directory, VCenter ve ESXI’daki günlükleri ilişkilendirerek SIEM platformlarına iletilen savunucular, potansiyel ihlalleri tahliye edilebilir olaylara dönüştürerek erken müdahale için yüksek kesinlik uyarıları üretebilirler.
UNC3944’ün hızı ve gizli hale getirilmesi minimal olarak durma süreleri minimal olarak, reaktif avdan altyapı merkezli sertleşmeye geçiş esastır, veri eksfiltrasyonunu ve şifrelemesini önlemek için şüpheli desenler üzerinde derhal eylem talep eder.
Bu yöntemler ana akım haline geldikçe, güçlendirilmiş sanallaştırma savunmalarına öncelik vermek, gelişen siber tehditlere karşı örgütsel varlıkların korunması için kritik olacaktır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!