Reklam
MicrosoftSecurity

İran bağlantılı bilgisayar korsanları ABD savunma teknolojisi şirketlerini hedef alıyor

Microsoft: İran bağlantılı bilgisayar korsanları ABD savunma teknolojisi şirketlerini hedef alıyor

İran bağlantılı tehdit aktörleri, kapsamlı parola püskürtme saldırılarında ABD ve İsrail savunma teknolojisi şirketlerinin Office 365 kiracılarını hedef alıyor.

Parola püskürtme saldırılarında, tehdit aktörleri aynı anda birden fazla hesapta aynı parolaları kullanarak hesapları kaba kuvvete zorlamaya çalışır ve bu da farklı IP adresleri kullanarak başarısız girişimleri gizlemelerine olanak tanır.

Bu, birden fazla başarısız oturum açma girişimini engellemek için tasarlanmış parola kilitleme ve kötü amaçlı IP engelleme gibi otomatik savunmaları yenmelerini sağlar.

Etkinlik kümesi, Temmuz ayının sonundan beri onu izleyen Microsoft Tehdit İstihbarat Merkezi (MSTIC) ve Microsoft Dijital Güvenlik Birimi (DSU) araştırmacıları tarafından geçici olarak DEV-0343 olarak adlandırıldı.

İran hükümetinin çıkarlarıyla uyumlu saldırılar

Microsoft’a göre, devam eden bu kötü niyetli faaliyet, İran bağlantılı başka bir tehdit aktörüyle uyumlu tekniklere ve hedeflere dayanan İran’ın ulusal çıkarlarıyla örtüşüyor.

DEV-0343 ayrıca, yaşam modeli analizine ve diğer İranlı bilgisayar korsanlığı gruplarıyla sektörel ve coğrafi hedeflemede kapsamlı bir geçişe dayalı olarak İran ile bağlantılıydı.

“Bu DEV-0343 etkinliğinde hedefleme, askeri sınıf radarlar, drone teknolojisi, uydu sistemleri ve acil müdahale iletişim sistemleri üreten ABD, Avrupa Birliği ve İsrail hükümeti ortaklarını destekleyen savunma şirketleri arasında gözlemlendi,” Microsoft diyor.

“Daha fazla faaliyet, coğrafi bilgi sistemleri (GIS), mekansal analitik, Basra Körfezi’ndeki bölgesel giriş limanları ve Orta Doğu’da iş odaklı birkaç denizcilik ve kargo taşımacılığı şirketindeki müşterileri hedef aldı.”

DEV-0343 operatörlerinin nihai hedefi, İran’ın gelişmekte olan uydu programını güçlendirmek için kullanılacak ticari uydu görüntülerine ve tescilli nakliye planlarına ve günlüklerine erişim elde etmektir.

Microsoft, hedeflenen veya güvenliği ihlal edilen müşterileri doğrudan bilgilendirerek, hesaplarının güvenliğini sağlamak için ihtiyaç duydukları bilgileri sağladı.

20’den az hedef ihlal edildi

Saldırılar başladığından bu yana, Microsoft, çok faktörlü kimlik doğrulaması (MFA) açık olan Office 365 hesaplarının DEV-0343’ün parola püskürtme saldırılarına karşı dayanıklı olduğunu belirterek, 20’den az hedefin güvenliği ihlal edildi.

DEV-0343, etkin hesapları doğrulamak ve saldırılarını hassaslaştırmak için numaralandırma/parola püskürtme aracıyla Otomatik Bulma ve ActiveSync Exchange uç noktalarını hedefler.

Microsoft, “Boyuta bağlı olarak, genellikle bir kuruluştaki düzinelerce ila yüzlerce hesabı hedefler ve her hesabı düzinelerce ila binlerce kez numaralandırırlar” diyor.

“Ortalama olarak, her kuruluşa yönelik saldırılarda 150 ila 1.000’den fazla benzersiz Tor proxy IP adresi kullanılıyor.”

Saldırılara karşı nasıl savunma yapılır

Bu etkinliğe maruz kalan şirketler, aşağıdakiler dahil olmak üzere günlüklerde ve ağ etkinliğinde DEV-0343 davranışları ve taktikleri aramaya teşvik edilir:

  • Parola püskürtme kampanyaları için Tor IP adreslerinden yoğun gelen trafik
  • Parola püskürtme kampanyalarında FireFox (en yaygın) veya Chrome tarayıcılarının öykünmesi
  • Exchange ActiveSync (en yaygın) veya Otomatik Bulma uç noktalarının numaralandırılması
  • Aşağıdakine benzer numaralandırma/şifre püskürtme aracının kullanılması ‘o365spray’ aracı
  • Hesapları ve parolaları doğrulamak için Otomatik Keşfet’in kullanılması
  • Genellikle 04:00:00 ile 11:00:00 UTC arasında zirve yapan gözlemlenen parola püskürtme etkinliği

Microsoft, DEV-0343’ün saldırılarına karşı bir savunma olarak aşağıdaki önlemleri almanızı önerir:

MSTIC ve DSU araştırmacıları ayrıca Microsoft 365 Defender ve Azure Sentinel gelişmiş arama sorgularını paylaştı blog yazısının sonunda SecOps ekiplerinin DEV-0343 ile ilgili etkinliği algılamasına yardımcı olmak için.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün