0mega fidye yazılımı grubu, tehlikeye atılmış bir uç nokta kullanmaya gerek kalmadan bir şirketin SharePoint Online ortamına yönelik bir gasp saldırısını başarıyla gerçekleştirdi; bu saldırılar genellikle bu şekilde gerçekleşir. Bunun yerine tehdit grubunun, isimsiz şirketin ortamına sızmak, izinleri yükseltmek ve sonunda kurbanın SharePoint kitaplıklarından hassas verileri sızdırmak için güvenliği zayıf bir yönetici hesabı kullandığı görülüyor. Veriler kurbandan fidye ödemesini talep etmek için kullanıldı.
Muhtemelen Türünün İlk Saldırısı
Güvenlik firması Obsidian'ın kurucu ortağı ve CPO'su Glenn Chisholm, saldırının dikkate değer olduğunu çünkü fidye yazılımı tehdidine yönelik kurumsal çabaların çoğunun uç nokta koruma mekanizmalarına odaklanma eğiliminde olduğunu söylüyor. saldırıyı fark etti.
Chisholm, "Şirketler fidye yazılımı grubu saldırılarını tamamen uç nokta güvenlik yatırımları yoluyla engellemeye veya azaltmaya çalışıyor" diyor. "Bu saldırı, uç nokta güvenliğinin yeterli olmadığını gösteriyor; çünkü artık birçok şirket SaaS uygulamalarındaki verilere erişiyor ve depoluyor."
Obsidian'ın gözlemlediği saldırı, 0mega grup aktörünün kurban kuruluşun Microsoft Global yöneticilerinden birine ait, güvenliği zayıf bir hizmet hesabı kimlik bilgisi elde etmesiyle başladı. İhlal edilen hesaba yalnızca halka açık internetten erişilemiyor, aynı zamanda çok faktörlü kimlik doğrulama (MFA) da etkinleştirilmiyordu; çoğu güvenlik uzmanının, özellikle ayrıcalıklı hesaplar için temel bir güvenlik gerekliliği olduğu konusunda hemfikir olduğu bir şey.
Tehdit aktörü, ele geçirilen hesabı kullanarak, biraz küstahça, "0mega" adında bir Active Directory kullanıcısı oluşturdu ve ardından yeni hesaba, ortamda kargaşa yaratmak için gereken tüm izinleri verdi. Bunlar, Genel Yönetici, SharePoint Yöneticisi, Exchange Yöneticisi ve Ekip Yöneticisi olma izinlerini içeriyordu. Tehdit aktörü, ilave bir önlem olarak, tehlikeye atılan yönetici kimlik bilgilerini kullanarak 0mega hesabına, kuruluşun SharePoint Online ortamında site koleksiyonu yönetici özellikleri kazandırdı ve diğer tüm mevcut yöneticileri kaldırdı.
SharePoint dilinde, bir site koleksiyonu bir web siteleri grubudur Yönetim ayarlarını paylaşan ve aynı sahibi olan bir Web uygulaması içinde. Site koleksiyonları daha yaygın olma eğilimindedir birden fazla iş fonksiyonuna ve departmana sahip büyük kuruluşlarda veya çok büyük veri kümelerine sahip kuruluşlar arasında.
Obsidian'ın analiz ettiği saldırıda, 0mega tehdit aktörleri ele geçirilen yönetici kimlik bilgilerini kullanarak iki saatlik bir süre içinde yaklaşık 200 yönetici hesabını kaldırdı.
Kendi kendine atanan ayrıcalıklarla donanmış olan tehdit aktörü, daha sonra kuruluşun SharePoint Online kitaplıklarından yüzlerce dosyayı ele geçirdi ve bunları Rusya'daki bir Web barındırma şirketiyle ilişkili bir sanal özel sunucu (VPS) ana bilgisayarına gönderdi. Tehdit aktörü, sızmayı kolaylaştırmak için, diğer şeylerin yanı sıra geliştiricilerin HTTP isteklerini kullanarak SharePoint kaynaklarıyla etkileşim kurmasına olanak tanıyan, "sppull" adı verilen, halka açık bir Node.js modülünü kullandı. Bakımcılarının modülü tanımladığı gibi sppull, "SharePoint'ten dosya çekip indirmek için basit bir istemcidir."
Sızma işlemi tamamlandıktan sonra saldırganlar "" adlı başka bir node.js modülünü kullandılar.var” kurbanın SharePoint ortamına temelde ne olduğu konusunda organizasyonu bilgilendiren binlerce metin dosyasını yüklemek için.
Uç Noktadan Ödün Verilmez
Chisholm, genellikle, SaaS uygulamalarını hedef alan saldırılarda, fidye yazılımı gruplarının bir uç noktayı tehlikeye attığını ve daha sonra gerektiğinde yanal hareketten yararlanarak dosyaları şifrelediğini veya dışarı sızdırdığını söylüyor. "Bu durumda, saldırganlar, SharePoint Online'da oturum açmak için güvenliği ihlal edilmiş kimlik bilgilerini kullanmış, yeni oluşturulan bir hesaba yönetici ayrıcalıkları vermiş ve ardından VDSinra.ru tarafından sağlanan kiralık bir ana bilgisayardaki komut dosyalarını kullanarak bu yeni hesaptan otomatik veri filtrelemeyi gerçekleştirmiştir." Tehdit aktörü, saldırının tamamını uç noktadan ödün vermeden veya yürütülebilir bir fidye yazılımı kullanmadan gerçekleştirdi. "Bildiğimiz kadarıyla bu, otomatik SaaS fidye yazılımı gaspının halka açık olarak kaydedilen ilk örneğidir" diyor.
Chisholm, Obsidian'ın son altı ayda kurumsal SaaS ortamlarını hedef alan saldırıların, önceki iki yılın toplamından daha fazla olduğunu gözlemlediğini söylüyor. Saldırganların artan ilgisinin büyük bir kısmının, kuruluşların, uç nokta teknolojilerinde olduğu gibi aynı tür kontrolleri uygulamadan, giderek daha fazla düzenlenmiş, gizli ve diğer hassas bilgileri SaaS uygulamalarına koymasından kaynaklandığını söylüyor. "Bu, kötü aktörlerden gördüğümüz en son tehdit tekniği" diyor. "Kuruluşların hazırlıklı olmaları ve tüm SaaS ortamlarında doğru proaktif risk yönetimi araçlarına sahip olmalarını sağlamaları gerekiyor."
Diğerleri de benzer bir eğilim gözlemlediklerini bildirdi. AppOmni'ye göre bir SaaS saldırılarında %300 artış 1 Mart 2023'ten bu yana Salesforce Topluluk Sitelerinde ve diğer SaaS uygulamalarında. Birincil saldırı vektörleri arasında aşırı konuk kullanıcı izinleri, aşırı nesne ve alan izinleri, MFA eksikliği ve hassas verilere aşırı ayrıcalıklı erişim yer alıyor. Odaseva'nın geçen yıl gerçekleştirdiği bir araştırmada katılımcıların %48'i kuruluşlarının son 12 ay içinde bir fidye yazılımı saldırısına maruz kaldığını ve Hedef SaaS verileriydi Saldırıların yarısından fazlasında (%51)
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- EVM Finans. Merkezi Olmayan Finans için Birleşik Arayüz. Buradan Erişin.
- Kuantum Medya Grubu. IR/PR Güçlendirilmiş. Buradan Erişin.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :vardır
- :dır-dir
- :olumsuzluk
- 1
- 12
- 200
- 2023
- 7
- a
- erişim
- ulaşılabilir
- erişme
- Göre
- Hesap
- Hesaplar
- karşısında
- aktif
- aktörler
- Ek
- adres
- Gizem
- idari
- yöneticiler
- karşı
- Türkiye
- veriyor
- Ayrıca
- arasında
- an
- analiz
- ve
- Başka
- belirir
- Uygulama
- uygulamaları
- ARE
- AS
- ilişkili
- At
- saldırı
- saldırılar
- Dikkat
- Doğrulama
- Otomatik
- mevcut
- Kötü
- temel
- temel olarak
- BE
- Çünkü
- olmuştur
- başladı
- İYİ
- iş
- Iş fonksiyonları
- by
- denilen
- yetenekleri
- dava
- müşteri
- kurucu
- Toplamak
- koleksiyon
- kombine
- topluluk
- Şirketler
- şirket
- tamamlamak
- uzlaşma
- Uzlaşılmış
- ödün
- yürütülen
- kontroller
- yaratmak
- çevrimiçi kurslar düzenliyorlar.
- KİMLİK
- Tanıtım
- veri
- veri kümeleri
- bölümler
- tanımlamak
- geliştiriciler
- DID
- indir
- çabaları
- YÜKSELTMEK
- etkin
- Son nokta
- Uç nokta güvenliği
- yeterli
- sağlamak
- kuruluş
- Tüm
- Baştan sona
- çevre
- ortamları
- özellikle
- sonunda
- takas
- infaz
- dumping
- mevcut
- deneyimli
- uzmanlara göre
- gasp
- kolaylaştırmak
- gerçek
- alan
- dosyalar
- Firma
- Ad
- odak
- İçin
- itibaren
- fonksiyonlar
- Küresel
- Tercih Etmenizin
- vermek
- verilmiş
- grup
- Grubun
- Büyüyen
- Konuk
- vardı
- Yarım
- olmuş
- Var
- he
- yardım
- ev sahibi
- hosting
- Ne kadar
- http
- HTTPS
- Yüzlerce
- uygulanması
- in
- dahil
- giderek
- bilgi
- bilgi
- örnek
- yerine
- etkileşim
- faiz
- Internet
- içine
- Yatırımlar
- degil
- IT
- ONUN
- jpg
- sadece
- Nezaket.
- bilgi
- Eksiklik
- büyük
- Soyad
- Geçen yıl
- son
- kaldıraç
- kütüphaneler
- log
- yönetim
- yönetim Araçları
- çok
- Mart
- Mart 1
- ölçmek
- mekanizmaları
- MFA
- Microsoft
- Azaltmak
- modül
- ay
- Daha
- çoğu
- hareket
- çok
- çoklu
- gerekli
- gerek
- gerekli
- gerek
- yeni
- yeni
- düğüm
- node.js
- şimdi
- nesne
- edinme
- meydana gelen
- of
- kapalı
- on
- ONE
- Online
- bir tek
- or
- kuruluşlar
- organizasyonlar
- Diğer
- bizim
- tekrar
- sahip
- dönem
- izinleri
- yer
- Platon
- Plato Veri Zekası
- PlatoVeri
- hazırlanmış
- önlemek
- önceki
- birincil
- özel
- ayrıcalıklı
- ayrıcalıklar
- Proaktif
- koruma
- sağlanan
- halka açık
- alenen
- koymak
- Fidye
- fidye
- Fidye Yazılımı Saldırısı
- RE
- kaydedilmiş
- düzenlenmekte olan
- Kaldır
- rapor
- Bildirilen
- isteklerinizi
- Araştırmacılar
- Kaynaklar
- katılımcıların
- krallar gibi yaşamaya
- Risk
- risk yönetimi
- RU
- Rusya
- s
- SaaS
- satış ekibi
- aynı
- söz
- diyor
- scriptler
- Secured
- güvenlik
- görme
- hassas
- gönderdi
- hizmet
- Setleri
- ayarlar
- paylaş
- Gösteriler
- benzer
- Basit
- beri
- yer
- Yer
- ALTINCI
- Altı ay
- biraz
- bir şey
- biraz
- sapları
- depolamak
- Ders çalışma
- Başarılı olarak
- hedefleme
- takım
- Teknolojileri
- göre
- o
- The
- ve bazı Asya
- Onları
- kendilerini
- sonra
- Orada.
- Bunlar
- onlar
- işler
- Re-Tweet
- Binlerce
- tehdit
- tehdit aktörleri
- İçinden
- için
- araçlar
- eğilim
- iki
- İSİMSİZ
- kullanım
- Kullanılmış
- kullanıcı
- kullanma
- genellikle
- çok
- Kurban
- Sanal
- oldu
- we
- ağ
- Web uygulaması
- Ne
- hangi
- bütün
- ile
- içinde
- olmadan
- yıl
- yıl
- zefirnet