Siber Muhbir

Ajans, Perşembe günü Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ile birlikte yayınlanan ortak bir danışma belgesinde, "Bu, tehdit aktörünün dahili bir sanal özel ağ (VPN) erişim noktasında başarılı bir şekilde kimlik doğrulaması yapmasına izin verdi" dedi.

"Tehdit aktörü, tespit edilmekten kaçınmak için meşru trafiğe karışmak amacıyla kurbanın VPN'i aracılığıyla [sanal makineye] bağlandı."

Tehdit aktörünün, kimlik bilgilerinin sızdırılmış hesap bilgilerini içeren halka açık kanallarda görünmesi nedeniyle ayrı bir veri ihlalinin ardından kimlik bilgilerini elde ettiğinden şüpheleniliyor.

Sanallaştırılmış bir SharePoint sunucusuna erişimi olan yönetici hesabı, saldırganların sunucuda depolanan ve hem şirket içi ağda hem de Azure Active Directory'de (artık Microsoft Entra Kimliği olarak adlandırılıyor) yönetici ayrıcalıklarına sahip başka bir kimlik bilgileri kümesine erişmesini de sağladı.

Bu, kurbanın şirket içi ortamını keşfetmeyi ve bir etki alanı denetleyicisine karşı çeşitli basit dizin erişim protokolü (LDAP) sorguları yürütmeyi daha da mümkün kıldı. Kötü amaçlı etkinliğin arkasındaki saldırganlar şu anda bilinmiyor.

Olayla ilgili daha derin bir araştırma, saldırganın şirket içi ortamdan Azure bulut altyapısına yanal olarak geçtiğine dair hiçbir kanıt ortaya çıkarmadı.

Saldırganlar nihayetinde ana bilgisayar ve kullanıcı bilgilerine erişti ve olası finansal kazanç için bilgileri karanlık ağda yayınladı, bülten, kuruluşun tüm kullanıcılar için şifreleri sıfırlamasını, yönetici hesabını devre dışı bırakmasını ve ikinci hesap için yükseltilmiş ayrıcalıkları kaldırmasını istedi.

İki hesaptan hiçbirinde çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmediğini ve kritik sistemlere erişim sağlayan ayrıcalıklı hesapların güvenliğini sağlama ihtiyacının altını çizdiğini belirtmekte fayda var. Ayrıca, şirket içi ve bulut ortamlarına erişimi segmentlere ayırmak için en az ayrıcalık ilkesinin uygulanması ve ayrı yönetici hesapları oluşturulması önerilir.

Gelişme, tehdit aktörlerinin kuruluşlara yetkisiz erişim elde etmek için Active Directory'den (AD) düzgün bir şekilde kaldırılmamış eski çalışanlara ait olanlar da dahil olmak üzere geçerli hesaplardan yararlandığının bir işaretidir.

Ajanslar, "Ağdaki gereksiz hesaplar, yazılımlar ve hizmetler, bir tehdit aktörünün tehlikeye girmesi için ek vektörler oluşturuyor" dedi.

"Varsayılan olarak, Azure AD'de tüm kullanıcılar oluşturdukları uygulamaların tüm yönlerini kaydedebilir ve yönetebilir. Bu varsayılan ayarlar, bir tehdit aktörünün hassas bilgilere erişmesini ve ağda yanal olarak hareket etmesini sağlayabilir. Ayrıca, Azure AD oluşturan kullanıcılar otomatik olarak bu kiracının Genel Yöneticisi olur. Bu, bir tehdit aktörünün kötü niyetli eylemler yürütmek için ayrıcalıkları yükseltmesine izin verebilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.