Daha önce hiç görülmemiş bir kötü amaçlı yazılım türü, ağ sınırının arkasından kimlik doğrulama ayrıntılarını ve diğer verileri çalmak için kurumsal düzeydeki ve SOHO yönlendiricilerini hedef alıyor. Ayrıca özel IP adreslerine yapılan bağlantılarda DNS ve HTTP ele geçirme saldırıları da gerçekleştirir.
Lumen Technologies'deki Black Lotus Labs ekibi tarafından "Mürekkepbalığı" olarak adlandırılan paket koklama kötü amaçlı yazılımı, 1 Mayıs'ta yayınlanan bir blog gönderisine göre kullanıcılardan ve cihazlardan veri yakalamak için sıfır tıklama yaklaşımı sunuyor.
Black Lotus Labs'a göre "Bu kötü amaçlı yazılımın sızdığı, ağ ekipmanı üzerinden gönderilen tüm veriler potansiyel olarak açığa çıkar". Araştırmacılar, saldırganların modüler kötü amaçlı yazılımı, genel bulut tabanlı hizmetlere ağırlık vererek, özellikle kimlik doğrulama verilerini elde etmek için belirli bir kural seti tarafından tetiklenecek şekilde tasarladıklarını söyledi.
“Verileri sızdırmak için tehdit aktörü öncelikle bir proxy veya VPN tüneli oluşturur. güvenliği ihlal edilmiş yönlendiriciGönderiye göre, daha sonra hedeflenen kaynaklara erişmek için çalınan kimlik bilgilerini kullanıyor. "İsteği yönlendirici aracılığıyla gönderen aktörün, çalınan kimlik doğrulama bilgilerini kullanarak anormal oturum açma tabanlı analizlerden kaçabileceğinden şüpheleniyoruz."
Mürekkepbalığının aynı zamanda her ikisini de gerçekleştirme kapasitesini sağlayan ikincil bir işlevi vardır. DNS ve HTTP ele geçirme dahili bir ağdaki iletişimlerle ilişkili özel IP alanına bağlantılar için. Ayrıca LAN üzerindeki diğer cihazlarla etkileşime girebilir ve materyali taşıyabilir veya yeni aracılar tanıtabilir.
Mürekkep Balığının Benzersiz Kötü Amaçlı Yazılım Davranışı
Mürekkepbalığının uç ağ ekipmanlarını gizlice dinleme ve DNS ve HTTP korsanlığı gerçekleştirme yeteneği "nadiren gözlemlenmiştir;" ancak bunun gibi kampanyalar ZuoRat, VPNFiltreBlack Lotus Labs'a göre , Attor ve Plead benzer davranışlar sergiledi.
Bununla birlikte, Mürekkepbalığı'na özgü olan, potansiyel ele geçirme için özel IP adresi bağlantılarına odaklanma yeteneğidir; araştırmacılar bu yeteneği ilk kez gözlemlediler ve muhtemelen anti-algılama ve kalıcılık amaçları için olduğunu belirttiler.
Blog gönderisine göre, "Bu bulut hizmetlerini hedeflemenin, saldırganların, EDR [genişletilmiş algılama ve yanıt] veya ağ bölümlendirme gibi güvenlik kontrolleriyle uğraşmak zorunda kalmadan, dahili olarak barındırılan aynı materyallerin çoğuna erişmesine olanak tanıdığından şüpheleniyoruz."
Araştırmacılar, kötü amaçlı yazılımın sıklıkla izlenmeyen ağ ekipmanlarını hedeflemenin yanı sıra, genellikle günlük kaydı bulunmayan bulut ortamlarına erişim sağlama kombinasyonunun, hedeflenen ekosistemlere uzun vadeli kalıcı erişim sağlamayı amaçladığını belirtti.
Türk Telekomünikasyon Şirketleri ve HiatusRAT Bağlantıları
Mürekkepbalığı en azından geçen Temmuz ayından bu yana aktif ve en son kampanyası Ekim ayından geçen aya kadar sürüyor. Enfeksiyonların büyük kısmı Türkiye'de iki telekomünikasyon sağlayıcısı (bir segment) aracılığıyla meydana geldi. Siber casusluk amaçlı kötü amaçlı yazılımların sıklıkla hedefi oluyor), enfeksiyonların yaklaşık %93'ünü veya 600 benzersiz IP adresini oluşturuyor.
Black Lotus Labs'a göre, muhtemelen küresel uydu telefonu sağlayıcılarıyla ilişkili müşterilerin IP adresleri ve potansiyel olarak ABD merkezli bir veri merkezi de dahil olmak üzere, Türk olmayan "bir avuç" kurban da vardı.
Araştırmacılar, özellikle kod benzerlikleri ve yerleşik derleme yolları olmak üzere bağlantılar buldu. HiatusRat, dolayısıyla Mürekkepbalığı'nın Çin merkezli tehdit aktörlerinin çıkarlarıyla da uyumlu olduğuna inanıyorlar. Ancak Black Lotus Labs şu ana kadar ortak bir mağduriyet bulamadı ve iki kötü amaçlı yazılım kümesinin aynı anda çalıştığını tahmin ediyor.
Enfeksiyon Süreci ve Yürütülmesi
Araştırmacılar ilk enfeksiyon vektörünü belirlememiş olsalar da, hedeflenen cihaz istismar edildikten sonra Mürekkepbalığının yolunu takip ettiklerini söylediler. Tehdit aktörü ilk olarak, komut ve kontrol sunucusuna (C2) göndermek üzere belirli ana bilgisayar tabanlı verileri toplayan bir bash betiği dağıtır. Ayrıca Mürekkepbalığı'nı, SOHO işletim sistemleri tarafından kullanılan tüm önemli mimariler için derlenmiş kötü amaçlı bir ikili dosya biçiminde indirir ve çalıştırır.
Gönderiye göre "Bu aracı, tüm giden bağlantıların incelenmesi ve belirli bağlantı noktalarının, protokollerin ve hedef IP adreslerinin kullanılması için bir paket filtresinin kurulmasıyla başlayan çok adımlı bir süreç uyguluyor." "Mürekkep balığı, cihazdaki tüm trafiği sürekli olarak izliyor ve yalnızca belirli bir dizi aktivite gördüğünde devreye giriyor."
C2, ilk girişten ana bilgisayar tabanlı numaralandırmayı aldıktan sonra güncellenmiş ve belirlenmiş etkileşim kurallarını bir yapılandırma dosyası aracılığıyla gönderir. Kural kümesi, kötü amaçlı yazılımı özel bir IP adresine yönlendirilen trafiği ele geçirmeye yönlendirir; halka açık bir IP'ye gidiliyorsa, belirli parametrelerin karşılanması durumunda kimlik bilgilerini çalmak için bir algılama işlevi başlatacaktır.
Yönlendirici Saldırılarına Karşı Savunma
Araştırmacıların gönderisine bir uzlaşma göstergeleri (IoC) listesi eklemenin yanı sıra, hem kurumsal ağ savunucuları hem de kurumsal ağ savunucuları için ayrı tavsiyeler de vardı. SOHO yönlendiricileri Mürekkepbalığı kaynaklı riskleri önlemek ve tespit etmek için.
Kurumsal kuruluşlar, coğrafi sınırlamayı ve ASN tabanlı engellemeyi atlayan yerleşik IP adreslerinden kaynaklansalar bile, zayıf kimlik bilgilerine ve şüpheli oturum açma girişimlerine yönelik saldırıları aramalıdır. Araştırmacılar ayrıca, bulut tabanlı hizmetleri kullanırken veya herhangi bir kimlik doğrulama türünü gerçekleştirirken uzaktan bulunan verileri alırken veya gönderirken koklamayı önlemek için ağ trafiğini TLS/SSL ile şifrelemeleri gerektiğini önerdi.
Yöneten kuruluşlar bu tür yönlendiriciler Cihazların ortak varsayılan şifrelere bağlı kalmamasını, ayrıca yönetim arayüzlerinin uygun şekilde güvenlik altına alınmasını ve İnternet üzerinden erişilememesini sağlamalıdır. SOHO cihazlarının /tmp dizininde bulunan ikili dosyalar veya hileli iptables girişleri gibi anormal dosyalar açısından incelenmesi ve bellekteki kötü amaçlı yazılım örneklerinin kaldırılmasına yardımcı olmak için bu cihazların rutin olarak yeniden çalıştırılması da kuruluşların riskten kaçınmasına yardımcı olabilir. Tehdit aktörlerinin bağlantıları ele geçirmesini önlemek için kuruluşlar, bulut varlıkları gibi yüksek değerli varlıklara uzaktan bağlanırken sertifika sabitlemeyi de uygulamalıdır.
SOHO yönlendiricilere sahip tüketiciler, yönlendiricileri düzenli olarak yeniden başlatma, güvenlik güncellemeleri ve yamaları yükleme, ayrıca kullanım ömrünün sonuna gelen yönlendiricileri kullanımdan kaldırma ve değiştirme ve dolayısıyla ilgili satıcılardan destek alma konusunda en iyi uygulamaları takip etmelidir.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cloud-security/cuttlefish-zero-click-malware-steals-private-cloud-data
- :vardır
- :dır-dir
- :olumsuzluk
- 1
- 600
- 7
- a
- Yapabilmek
- Anormal
- Hakkımızda
- erişim
- ulaşılabilir
- Göre
- muhasebe
- kazanmak
- karşısında
- aktif
- faaliyetler
- aktörler
- adres
- adresleri
- tavsiye
- tavsiye
- Sonra
- karşı
- Danışman
- ajanları
- hizalı
- Türkiye
- veriyor
- Ayrıca
- an
- analytics
- ve
- herhangi
- yaklaşım
- mimarileri
- ARE
- AS
- Varlıklar
- ilişkili
- At
- saldırılar
- Denemeler
- Doğrulama
- önlemek
- Arka
- merkezli
- darbe
- BE
- olmuştur
- başlıyor
- davranış
- arkasında
- olmak
- Inanmak
- İYİ
- en iyi uygulamalar
- Siyah
- bloke etme
- Blog
- her ikisi de
- inşa etmek
- by
- baypas
- Kampanya
- Kampanyalar
- CAN
- kabiliyet
- Kapasite
- Yakalama
- Merkez
- belli
- sertifika
- istemciler
- bulut
- bulut hizmetleri
- kod
- kombinasyon
- ortak
- İletişim
- derlenmiş
- uzlaşma
- yapılandırma
- bağlantı
- Bağlantılar
- sürekli
- tartışmak
- kontroller
- Kurumsal
- oluşturur
- Tanıtım
- veri
- Veri Merkezi
- Varsayılan
- Defenders
- Savunma
- dağıtır
- tasarlanmış
- hedef
- kaderinde
- ayrıntılar
- belirlemek
- Bulma
- kararlı
- cihaz
- Cihaz
- DID
- rehber
- yönlendirir
- keşfetti
- dns
- do
- indirme
- dublajlı
- ekosistemler
- kenar
- ya
- gömülü
- vurgu
- şifrelemek
- son
- nişan
- meşgul
- sağlamak
- Kurum düzeyi
- işletmelerin
- giriş
- ortamları
- ekipman
- kaçmasına
- Hatta
- çalıştırır
- infaz
- sergiledi
- sömürülen
- maruz
- genişletilmiş
- uzak
- fileto
- dosyalar
- filtre
- Ad
- ilk kez
- takip et
- İçin
- Airdrop Formu
- bulundu
- sık sık
- itibaren
- işlev
- Kazanç
- kazanma
- verir
- Küresel
- vermek
- vardı
- avuç
- Var
- sahip olan
- Başlık
- yardım et
- Merhaba Jack
- ev sahipliği yaptı
- Ancak
- http
- HTTPS
- if
- uygulamak
- uygular
- in
- Dahil olmak üzere
- göstergeler
- enfeksiyonları
- sızmış
- ilk
- başlatmak
- yükleme
- yönelik
- etkileşim
- ilgi alanları
- arayüzler
- iç
- içten
- Internet
- tanıtmak
- IP
- IP Adresi
- IP adresleri
- IT
- ONUN
- jpg
- Temmuz
- Labs
- Eksiklik
- Soyad
- son
- en az
- hayat
- sevmek
- Muhtemelen
- bağlantılar
- Liste
- bulunan
- günlüğü
- giriş
- uzun süreli
- Bakın
- Lümen
- büyük
- kötü niyetli
- kötü amaçlı yazılım
- yönetmek
- yönetim
- çok
- malzeme
- malzemeler
- Mayıs..
- araya geldi
- modüler
- monitörler
- Ay
- hareket
- ağ
- ağ ekipmanı
- ağ trafiği
- ağ
- yeni
- ünlü
- oluştu
- Ekim
- of
- sık sık
- on
- bir Zamanlar
- bir tek
- işletme
- işletim sistemleri
- or
- organizasyonlar
- Diğer
- parametreler
- belirli
- şifreleri
- Yamalar
- yol
- yolları
- Yapmak
- icra
- gerçekleştirir
- sebat
- telefon
- Platon
- Plato Veri Zekası
- PlatoVeri
- savunmak
- portları
- Çivi
- potansiyel
- potansiyel
- uygulamalar
- önlemek
- özel
- süreç
- uygun şekilde
- protokolleri
- sağlayıcılar
- vekil
- halka açık
- yayınlanan
- amaçlı
- ulaşmak
- alır
- düzenli
- güvenmek
- uzaktan
- Kaldır
- talep
- Araştırmacılar
- yerleşim
- Kaynaklar
- bu
- yanıt
- yönlendirici
- rutin
- Kural
- kurallar
- koşu
- s
- Adı geçen
- aynı
- uydu
- senaryo
- ikincil
- Secured
- güvenlik
- Gördükleri
- bölüm
- bölünme
- nadiren
- göndermek
- gönderme
- gönderir
- gönderdi
- ayrı
- sunucu
- Hizmetler
- set
- Paylaşılan
- meli
- benzer
- benzerlikler
- beri
- So
- şu ana kadar
- uzay
- özel
- özellikle
- Belirtilen
- çalmak
- top çalma
- çalıntı
- böyle
- destek
- şüpheli
- Sistemler
- Hedeflenen
- hedefleme
- takım
- Teknolojileri
- telekomünikasyon
- o
- The
- ve bazı Asya
- sonra
- Bunlar
- onlar
- Re-Tweet
- Bu
- tehdit
- tehdit aktörleri
- İçinden
- Böylece
- zaman
- için
- iz
- trafik
- tetiklenir
- tünel
- Türkiye
- Türkce
- iki
- tip
- türleri
- benzersiz
- güncellenmiş
- Güncellemeler
- üzerine
- kullanım
- Kullanılmış
- kullanıcılar
- kullanım
- kullanma
- satıcıları
- üzerinden
- kurbanlar
- VPN
- oldu
- we
- zayıf
- İYİ
- ne zaman
- hangi
- DSÖ
- irade
- ile
- içinde
- olmadan
- zefirnet
- sıfır