Microsoft, Küresel Kuruluşları Hedef Alan APT29 Casusluk Saldırılarının Genişletilmesi Konusunda Uyardı

Gelişme, Hewlett Packard Enterprise'ın (HPE) BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (eski adıyla Nobelium) ve The Dukes olarak da bilinen APT29 olarak izlenen bir bilgisayar korsanlığı ekibi tarafından gerçekleştirilen bir saldırının kurbanı olduğunu açıklamasından bir gün sonra geldi.

Microsoft Tehdit İstihbaratı ekibi yeni bir danışma belgesinde, "Bu tehdit aktörünün öncelikle ABD ve Avrupa'daki hükümetleri, diplomatik kuruluşları, sivil toplum kuruluşlarını (STK'lar) ve BT hizmet sağlayıcılarını hedef aldığı biliniyor" dedi.

Bu casusluk misyonlarının temel amacı, herhangi bir dikkat çekmeden uzun süre dayanak noktalarını koruyarak Rusya'nın stratejik çıkarları olan hassas bilgileri toplamaktır.

Son açıklama, kampanyanın ölçeğinin daha önce düşünülenden daha büyük olabileceğini gösteriyor. Ancak teknoloji devi, başka hangi varlıkların seçildiğini açıklamadı.

APT29'un operasyonları, bir hedef ortamda erişim elde etmek ve genişletmek ve radarın altında uçmak için meşru ancak güvenliği ihlal edilmiş hesapların kullanılmasını içerir. Ayrıca, bulut altyapıları arasında yanal olarak hareket etmek ve e-posta toplama gibi güvenliği ihlal edildikten sonra etkinlikler için OAuth uygulamalarını tanımladığı ve kötüye kullandığı da bilinmektedir.

Microsoft, "Çalınan kimlik bilgilerinden tedarik zinciri saldırılarına, buluta yanal olarak geçmek için şirket içi ortamlardan yararlanmaya ve alt müşterilere erişim elde etmek için hizmet sağlayıcıların güven zincirinden yararlanmaya kadar çeşitli ilk erişim yöntemlerini kullanıyorlar" dedi.

Dikkate değer bir diğer taktik, OAuth uygulamalarına kötü amaçlı etkinlikleri gizlemek için kötüye kullanabilecekleri yüksek izinler oluşturmak, değiştirmek ve vermek için ihlal edilmiş kullanıcı hesaplarının kullanılmasını gerektirir. Şirket, bunun tehdit aktörlerinin başlangıçta güvenliği ihlal edilmiş hesaba erişimlerini kaybetseler bile uygulamalara erişimi sürdürmelerini sağladığını belirtti.

Bu kötü amaçlı OAuth uygulamaları nihayetinde Microsoft Exchange Online'da kimlik doğrulaması yapmak ve ilgilenilen verileri sızdırmak için Microsoft kurumsal e-posta hesaplarını hedeflemek için kullanılır.

Kasım 2023'te Microsoft'u hedef alan olayda tehdit aktörü, çok faktörlü kimlik doğrulaması (MFA) etkinleştirilmemiş eski, üretim dışı bir test kiracı hesabına başarıyla sızmak için parola spreyi saldırısı kullandı.

"Gözlemlenen bu Midnight Blizzard etkinliğinde, aktör, şifre spreyi saldırılarını sınırlı sayıda hesaba uyarladı ve tespit edilmekten kaçınmak ve başarısızlıkların hacmine bağlı olarak hesap bloklarından kaçınmak için düşük sayıda girişimde bulundu" dedi.

Davetsiz misafirler daha sonra, Microsoft kurumsal ortamına erişimi yükseltilmiş olan eski bir test OAuth uygulamasını belirlemek ve tehlikeye atmak için ilk erişimlerinden yararlandı, ek kötü amaçlı OAuth uygulamaları oluşturmak için silah haline getirdi ve posta kutularına erişim elde etmek için onlara Office 365 Exchange Online full_access_as_app rolü verdi.

Bu tür saldırılar, kaynaklarını gizlemek için dağıtılmış bir konut proxy altyapısından başlatılır ve tehdit aktörünün güvenliği ihlal edilmiş kiracıyla ve meşru kullanıcılar tarafından da kullanılan geniş bir IP adresleri ağı aracılığıyla Exchange Online ile etkileşime girmesine olanak tanır.

Redmond, "Midnight Blizzard'ın bağlantıları gizlemek için konut proxy'lerini kullanması, IP adreslerinin yüksek değişim oranı nedeniyle geleneksel uzlaşma göstergeleri (IoC) tabanlı algılamayı olanaksız hale getiriyor" dedi ve kuruluşların sahte OAuth uygulamalarına ve şifre püskürtmeye karşı savunmak için adımlar atmasını gerektirdiğini söyledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği