Siber Muhbir

Teknoloji devi, izinsiz girişleri, APT28, BlueDelta, Fancy Bear, FROZENLAKE, Iron Twilight, Sednit, Sofacy ve TA422 takma adları altında da yaygın olarak izlenen Forest Blizzard (eski adıyla Strontium) adlı bir tehdit aktörüne bağladı.

Söz konusu güvenlik açığı CVE-2023-23397'dir (CVSS puanı: 9.8), bir saldırganın bir kullanıcının Net-NTLMv2 karmasına erişmesine izin verebilecek ve daha sonra kullanıcı olarak kimlik doğrulaması yapmak için başka bir hizmete karşı bir geçiş saldırısı gerçekleştirmek için kullanılabilecek kritik bir ayrıcalık yükseltme hatasıdır. Mart 2023'te Microsoft tarafından yamalandı.

Polonya Siber Komutanlığı'na (DKWOC) göre amaç, ülkedeki kamu ve özel kuruluşlara ait posta kutularına yetkisiz erişim sağlamaktır.

DKWOC, "Kötü niyetli faaliyetin bir sonraki aşamasında, saldırgan kurbanın posta kutusundaki klasör izinlerini değiştirir" dedi. "Çoğu durumda, değişiklikler 'Varsayılan' grubun (Exchange kuruluşundaki kimliği doğrulanmış tüm kullanıcılar) varsayılan izinlerini 'Yok'tan 'Sahip'e değiştirmektir."

Bunu yaparken, bu izin verilen posta kutusu klasörlerinin içeriği, kuruluş içindeki kimliği doğrulanmış herhangi bir kişi tarafından okunabilir ve tehdit aktörünün yüksek değerli hedeflerden değerli bilgileri çıkarmasına olanak tanır.

DKWOC, "Bu tür değişikliklerin getirilmesinin, posta kutusunun içeriğine doğrudan erişimi kaybettikten sonra bile yetkisiz erişimin sürdürülmesine izin verdiği vurgulanmalıdır" dedi.

Microsoft daha önce, güvenlik açığının Rusya merkezli tehdit aktörleri tarafından Nisan 2022'den bu yana Avrupa'daki hükümet, ulaşım, enerji ve askeri sektörleri hedef alan saldırılarda sıfırıncı gün olarak silah haline getirildiğini açıklamıştı.

Daha sonra, Haziran 2023'te siber güvenlik firması Recorded Future, APT28 tarafından düzenlenen ve açık kaynaklı Roundcube web posta yazılımındaki birden fazla güvenlik açığından yararlanan bir hedef odaklı kimlik avı kampanyasının ayrıntılarını açıklarken, aynı zamanda kampanyanın Microsoft Outlook güvenlik açığını kullanan etkinlikle örtüştüğünü belirtti.

Fransa Ulusal Siber Güvenlik Ajansı (ANSSI), Ekim ayı sonlarında, CredoMap gibi implantları dağıtmak için CVE-2023-23397'yi sayarak çeşitli kusurlardan yararlanarak 2021'in ikinci yarısından bu yana devlet kurumlarını, işletmeleri, üniversiteleri, araştırma enstitülerini ve düşünce kuruluşlarını hedef alan bilgisayar korsanlığı ekibini de suçladı.

Devlet destekli grubun, Savunma Bakanlığı'nın dış istihbarat kolu olan Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı (GRU) Birim 26165 ile bağlantılı olduğu değerlendiriliyor.

Son aylarda, Fransa ve Ukrayna'daki çeşitli kuruluşlara yönelik saldırıların yanı sıra IRONJAW adlı bir PowerShell komut dosyası kullanarak tarayıcı oturum açma verilerini çalmak için WinRAR kusurunun (CVE-2023-38831) kötüye kullanılmasıyla da bağlantılı.

Siber güvenlik şirketi Proofpoint, bağımsız bir analizde, Mart sonu ve Eylül 2023'te Avrupa ve Kuzey Amerika'daki hedeflere sırasıyla CVE-2023-23397 ve CVE-2023-38831'den yararlanan yüksek hacimli kimlik avı kampanyaları gözlemlediğini söyledi.

"Eylemleri, düşmana stratejik çıkarları olan kolayca sömürülebilir ağları keşfetmeye çalıştıklarını gösteriyor; ancak, Ağustos 2023'ten bu yana toplam 10.000'den fazla e-posta miktarının taktiksel bir karar mı yoksa operatör hatası mı olduğu belli değil," dedi Proofpoint'te kıdemli tehdit araştırmacısı Greg Lesnewich, verdiği demeçte:

"Ne olursa olsun, bu kampanyalarda kullanılan yükler, taktikler ve teknikler, TA422'nin hedeflenen ağlarda kalıcı erişim için derlenmiş kötü amaçlı yazılımlardan daha hafif, kimlik bilgisi odaklı erişime geçişini yansıtıyor."

Microsoft, "Forest Blizzard, yeni özel teknikler ve kötü amaçlı yazılımlar kullanarak ayak izini sürekli olarak iyileştiriyor, bu da iyi kaynaklara sahip ve iyi eğitimli bir grup olduğunu ve faaliyetlerini ilişkilendirmek ve izlemek için uzun vadeli zorluklar oluşturduğunu gösteriyor" dedi.

Microsoft Outlook'un kurumsal ortamlardaki popülaritesi, kazançlı bir saldırı vektörü olarak hizmet ediyor ve hizmetin kötü aktörler tarafından istismarlarını sağlamak için kötüye kullanılabileceği çeşitli yolları ortaya koyan Check Point'e göre, onu "kuruluşlara çeşitli siber tehditler getirmekten sorumlu kritik 'ağ geçitlerinden' biri" haline getiriyor.

Gelişme, The Guardian'ın İngiltere'deki Sellafield nükleer atık sahasının, 2015 yılına kadar "uyuyan kötü amaçlı yazılım" dağıtmak için Rusya ve Çin ile ilişkili bilgisayar korsanlığı ekipleri tarafından ihlal edildiğini bildirmesiyle geldi. Ancak İngiltere hükümeti, ağlarının "devlet aktörleri tarafından başarılı bir şekilde saldırıya uğradığını" gösteren hiçbir kanıt bulamadığını söyledi.