Yönetişim ve Risk Yönetimi , Yama Yönetimi
Mandiant, MOVEit’ten Yararlanmanın Arkasındaki Tehdit Grubunun TTP’lerinin FIN11’e Benzer Göründüğünü Söyledi
Micheal Novinson (Michael Novinson) •
2 Haziran 2023
Saldırganlar, web kabuklarını dağıtmak ve verileri çalmak için Progress Software’in yönetilen dosya aktarım ürünündeki yakın zamanda yamalanmış bir güvenlik açığından yararlanıyor.
Ayrıca bakınız: Risk Yönetimi Stratejisi Olarak Yama Yönetimi
Bilinmeyen bir tehdit aktörü, 27 Mayıs’ta MOVEit Transfer’deki kritik SQL enjeksiyon güvenlik açığından yararlanmaya başladı ve bazı durumlarda web kabuklarını dağıttıktan sonra birkaç dakika içinde verileri aldı.
Mandiant’taki güvenlik araştırmacıları, etkinliği, Kanada, Hindistan ve Amerika Birleşik Devletleri’nde bulunan çok çeşitli sektörlerdeki kuruluşların peşine düşen UNC4857 adlı bilinmeyen motivasyonlara sahip yeni oluşturulmuş bir tehdit kümesine bağlıyor (bkz.: Hacker’lar İlerleme MOVEit Dosya Aktarımı Güvenlik Açığı’ndan Yararlanıyor).
Mandiant araştırmacıları bir blog yazısında, “Bu kampanyanın görünüşte fırsatçı doğası ve müteakip veri hırsızlığı faaliyeti, tehdit aktörlerinden gördüğümüz faaliyetlerle tutarlıdır; bu, kurban kuruluşların önümüzdeki günlerde veya haftalarda potansiyel olarak fidye e-postaları alabileceği anlamına gelir.” Cuma yayınlandı.
Progress Software, güvenlik açığını Çarşamba günü açıkladı ve Perşembe günü Information Security Media Group’a acil azaltma için talimatlar sağladığını ve güvenlik açığının tespit edilmesinden sonraki 48 saat içinde tüm MOVEit Transfer istemcilerine bir yama yayınladığını söyledi. Uygulama geliştirme ve altyapı yazılımı satıcısı, ISMG’nin Mandiant bulguları hakkında yorum yapma talebine hemen yanıt vermedi.
İstismar Nasıl Çalışır?
Güvenlik açığından yararlanılmasının ardından Mandiant, tehdit aktörlerinin MOVEit Transfer yazılımının meşru bir bileşeni gibi görünen dosya adlarıyla yeni keşfedilen bir web kabuğunu dağıttığını söyledi. Web kabuğu İtalya, Pakistan ve Almanya gibi ülkelerdeki halka açık depolara yüklendi ve Mandiant’ın söylediğine göre tehdit aktörü muhtemelen bu ülkelerdeki kuruluşların peşine düşüyor.
Kötü amaçlı web kabuğu, dosya ve klasörleri heceleyen, yapılandırma bilgilerini alan ve sabit kodlanmış bir adla bir kullanıcı oluşturan veya silen komutlar oluşturabilir. Mandiant’ın ilk analizi, web kabuğunun daha önce bireysel MOVEit Transfer sistemlerinin kullanıcıları tarafından yüklenen verileri çalmak için kullanıldığını gösteriyor.
Mandiant, kurbanların MOVEit aktarım sistemlerinden büyük hacimli dosyaların çalındığı birden fazla vakanın farkında olduğunu söyledi. Ayrıca, kurbanların cihaz verilerini Azure Blob depolama alanında depoladığı durumlarda tehdit grubunun Azure’dan dosya çalıyor olabileceğini söyledi.
Bu istismarları desteklemek için kullanılan ana bilgisayarların çoğu, 19 Mayıs ile 22 Mayıs arasında oluşturulan sertifikalarla uzak masaüstü protokol hizmetlerini barındırıyordu. Mandiant, bunun, saldırının bir parçası olarak kullanılan altyapının ne zaman sahnelenmiş olabileceğini düşündürdüğünü söyledi.
MOVEit Güvenlik Açığı’ndan Kim Yararlanıyor?
Mandiant, MOVEit’i istismar eden tehdit grubu ile Clop fidye yazılımını dağıtmasıyla tanınan ve herhangi bir ödeme yapılmadığı takdirde çalınan verileri yayınlamakla tehdit eden Rusya merkezli, finansal olarak motive olmuş bir bilgisayar korsanlığı grubu olan FIN11 tarafından kullanılan taktikler, teknikler ve prosedürler arasında büyük benzerlikler fark etti. Hem MOVEit bilgisayar korsanları hem de bir FIN11 kümesi, dosya aktarım sistemlerini hedeflemek için sıfır gün güvenlik açıklarını kullandı.
Mandiant ayrıca yakın zamanda Clop ile ilişkili en az bir aktörün SQL enjeksiyonları üzerinde çalışacak ortaklar aradığını gözlemledi. Mandiant, MOVEit Transfer’in kötüye kullanılmasının, dosya aktarım yazılımını hedef alan ve sonuçta Clop veri sızıntısı sitesi aracılığıyla FIN-11’e atfedilen veri hırsızlığına yol açan önceki toplu istismar olaylarını anımsattığını söyledi.
Verileri çaldıktan birkaç hafta sonra Mandiant, FIN11’in verileri yayınlamaması karşılığında haraç ödemesi talep eden e-postalar gönderdiğini söyledi. Mandiant, FIN11’den gelen fidye taleplerindeki gecikmenin, sıfır gün güvenlik açığının tespit edilmeden kaldığı süreyi uzatmak istemesinden veya çok sayıda kurbanla aynı anda müzakere etme kapasitesinin olmamasından kaynaklanabileceğinden şüpheleniyor.
Mandiant, blogla birlikte Cuma günü, sınırlama önlemleri, uygulama ve altyapı avcılığı, günlük kaydı ve avlanma önerileri hakkında rehberlik sağlayan 31 sayfalık bir MOVEit çevreleme ve sağlamlaştırma kılavuzu yayınladı. Mandiant, önerilerin gelecekte bu güvenlik açığından yararlanma riskini azalttığını ve etkilenen sunucuları ortamın geri kalanından izole ettiğini söyledi.
Mandiant Consulting Baş Teknoloji Sorumlusu Charles Carmakal, LinkedIn’de “İlk izinsiz giriş dalgasının arkasındaki tehdit aktörünün motivasyonunu henüz bilmesek de, kuruluşlar potansiyel gasp, çalınan verilerin yayınlanması ve kurbanları utandırmaya hazırlanmalı.” Cuma.