.png)
VMware ESXi Kusuru, Yönetici Erişimi için Fidye Yazılımı Grupları Tarafından Kullanıldı
VMware ESXi hipervizörlerini etkileyen yakın zamanda yamalanan bir güvenlik açığı, yükseltilmiş izinler elde etmek ve dosya şifreleyen kötü amaçlı yazılımları dağıtmak için "birkaç" fidye yazılımı grubu tarafından aktif olarak kullanıldı.
Saldırılar, bir saldırganın ana bilgisayara yönetici erişimi elde etmesine olanak tanıyan bir Active Directory entegrasyon kimlik doğrulama atlaması olan CVE-2024-37085'in (CVSS puanı: 6.8) kötüye kullanılmasını içerir.
Broadcom'a ait VMware, Haziran 2024'ün sonlarında yayınlanan bir danışma belgesinde, "Yeterli Active Directory (AD) izinlerine sahip kötü niyetli bir aktör, yapılandırılmış AD grubunu (varsayılan olarak 'ESXi Yöneticileri') AD'den silindikten sonra yeniden oluşturarak daha önce kullanıcı yönetimi için AD kullanacak şekilde yapılandırılmış bir ESXi ana bilgisayarına tam erişim elde edebilir" dedi.
Başka bir deyişle, ESXi'deki ayrıcalıkları yöneticiye yükseltmek, "ESX Admins" adlı yeni bir AD grubu oluşturmak ve buna herhangi bir kullanıcı eklemek veya etki alanındaki herhangi bir grubu "ESX Admins" olarak yeniden adlandırmak ve gruba bir kullanıcı eklemek veya mevcut bir grup üyesini kullanmak kadar basitti.
Microsoft, 29 Temmuz'da yayınlanan yeni bir analizde, Storm-0506, Storm-1175 (Medusa fidye yazılımını dağıtmasıyla tanınan Çin merkezli bir tehdit aktörü), Octo Tempest ve Manatee Tempest gibi fidye yazılımı operatörlerinin Akira ve Black Basta'yı dağıtmak için uzlaşma sonrası teknikten yararlandığını gözlemlediğini söyledi.
Araştırmacılar Danielle Kuznets Nohi, Edan Zwick, Meitar Pinto, Charles-Edouard Bettan ve Vaibhav Deshmukh, "Bir Active Directory etki alanına katılan VMware ESXi hipervizörleri, 'ESX Admins' adlı bir etki alanı grubunun herhangi bir üyesinin varsayılan olarak tam yönetim erişimine sahip olduğunu düşünüyor" dedi.
"Bu grup Active Directory'de yerleşik bir grup değil ve varsayılan olarak mevcut değil. ESXi hipervizörleri, sunucu bir etki alanına katıldığında böyle bir grubun var olduğunu doğrulamaz ve grup başlangıçta mevcut olmasa bile, bu ada sahip bir grubun herhangi bir üyesine tam yönetici erişimi sağlamaya devam eder."
Storm-0506 tarafından Kuzey Amerika'daki isimsiz bir mühendislik firmasına karşı düzenlenen bir saldırıda, tehdit aktörü, bir QakBot enfeksiyonu kullanarak ilk dayanağı elde ettikten ve ayrıcalık yükseltme için Windows Ortak Günlük Dosya Sistemi (CLFS) Sürücüsündeki (CVE-2023-28252, CVSS puanı: 7.8) başka bir kusurdan yararlandıktan sonra ESXi hipervizörlerine yükseltilmiş izinler elde etmek için güvenlik açığını silah haline getirdi.
Daha sonra, aşamalar, etki alanı yöneticisi kimlik bilgilerini çalmak ve ağ üzerinde yanal olarak hareket etmek için Mimikatz'ın bir Python sürümü olan Cobalt Strike ve Pypykatz'ın konuşlandırılmasını, ardından kalıcılık için SystemBC implantının bırakılmasını ve Black Basta'yı dağıtmak için ESXi yönetici erişiminin kötüye kullanılmasını gerektirdi.
Araştırmacılar, "Aktörün ayrıca, yanal hareket için başka bir yöntem olarak birden fazla cihaza Uzak Masaüstü Protokolü (RDP) bağlantılarını kaba kuvvetle zorlamaya çalıştığı ve ardından tekrar Cobalt Strike ve SystemBC'yi yüklediği gözlemlendi" dedi. "Tehdit aktörü daha sonra tespit edilmekten kaçınmak için çeşitli araçlar kullanarak Microsoft Defender Virüsten Koruma'yı kurcalamaya çalıştı."
.jpg)
Tenable'da personel araştırma mühendisi olan Scott Caveza yaptığı açıklamada, "İstismarın, ana bilgisayarın kullanıcı yönetimi için AD'yi kullanacak şekilde yapılandırılmasına çok bağlı olduğunu belirtmek önemlidir" dedi. "Ayrıca, bir saldırganın bu güvenlik açığından başarılı bir şekilde yararlanmak için AD ortamına ayrıcalıklı erişime de ihtiyacı olacaktır."
"Bu önemli giriş engeline rağmen, fidye yazılımı gruplarının ilk erişimi elde ettikten sonra ayrıcalıkları artırma ve saldırı yollarını ilerletme yeteneklerini ve kararlılıklarını hafife alamayız."
Gelişme, Google'ın sahip olduğu Mandiant'ın UNC4393 adlı finansal olarak motive edilmiş bir tehdit kümesinin, QakBot ve DarkGate'ten uzaklaşarak Black Basta'yı teslim etmek için ZLoader (diğer adıyla DELoader, Terdot veya Silent Night) kod adlı bir C/C++ arka kapısı aracılığıyla elde edilen ilk erişimi kullandığını ortaya çıkarmasıyla geldi.
Tehdit istihbaratı firması, "UNC4393, hedeflere yönelik eylemlerini tamamlamak için birden fazla dağıtım kümesiyle işbirliği yapmaya istekli olduğunu gösterdi" dedi. "Bu yılın başlarında başlayan Silent Night etkinliğinin bu en son artışı, öncelikle kötü amaçlı reklamcılık yoluyla sağlandı. Bu, UNC4393'ın bilinen tek ilk erişim aracı olarak kimlik avından kayda değer bir kaymaya işaret etti."
Saldırı dizisi, Cobalt Strike Beacon'ı bırakmak için ilk erişimin ve keşif yapmak için özel ve hazır araçların bir kombinasyonunun kullanılmasını içerir, yanal hareket için RDP ve Sunucu Mesaj Bloğuna (SMB) güvenmekten bahsetmiyorum bile. Kalıcılık, SystemBC aracılığıyla elde edilir.
Walmart'ın siber istihbarat ekibinin son bulgularına göre, geçen yılın sonlarında uzun bir aradan sonra yeniden ortaya çıkan ZLoader, kötü amaçlı yazılımın yeni varyantlarının PowerDash olarak adlandırılan bir PowerShell arka kapısı aracılığıyla yayılmasıyla aktif olarak geliştiriliyor.
Geçtiğimiz birkaç yıl boyunca, fidye yazılımı aktörleri, etkiyi en üst düzeye çıkarmak ve tespit edilmekten kaçınmak için yeni tekniklere kilitlenme konusunda bir iştah gösterdiler, ESXi hipervizörlerini giderek daha fazla hedef aldılar ve ilgilenilen hedefleri ihlal etmek için internete açık sunucularda yeni açıklanan güvenlik kusurlarından yararlandılar.
Örneğin Qilin (diğer adıyla Agenda), başlangıçta Go programlama dilinde geliştirildi, ancak o zamandan beri Rust kullanılarak yeniden geliştirildi, bu da bellek açısından güvenli diller kullanarak kötü amaçlı yazılım oluşturmaya doğru bir kayma olduğunu gösteriyor. Fidye yazılımlarını içeren son saldırıların, ilk erişim için Fortinet ve Veeam Backup & Replication yazılımlarındaki bilinen zayıflıklardan yararlandığı tespit edildi.
Group-IB, yakın tarihli bir analizde, "Qilin fidye yazılımı yerel bir ağda kendi kendine yayılma yeteneğine sahip" dedi ve ayrıca "VMware vCenter kullanarak kendi kendine dağıtım yapmak" için donatıldığını da sözlerine ekledi.
Qilin fidye yazılımı saldırılarında kullanılan bir diğer önemli kötü amaçlı yazılım, virüslü ana bilgisayarda çalışan popüler uç nokta algılama ve yanıt (EDR) yazılımını devre dışı bırakmak ve tüm güvenlik ihlali göstergelerini kaldırmak için tüm Windows olay günlüklerini temizlemek için tasarlanmış Killer Ultra adlı bir araçtır.
Kuruluşların en son yazılım güncellemelerini yüklemeleri, kimlik bilgisi hijyeni uygulamaları, iki faktörlü kimlik doğrulamayı zorlamaları ve uygun izleme prosedürlerini ve yedekleme ve kurtarma planlarını kullanarak kritik varlıkları korumak için adımlar atmaları önerilir.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı