Microsoft, POLONIUM Korsanlarının Verileri Sızdırmak İçin OneDrive'ı Kötüye Kullanmasını Engelliyor

ReusLux
21 Eyl, 2022

Google News Abone Ol

Microsoft, POLONIUM Korsanlarının Verileri Sızdırmak İçin OneDrive'ı Kötüye Kullanmasını Engelliyor

Son zamanlarda Microsoft, Lübnan'dan faaliyet gösteren POLONIUM adlı bir grup bilgisayar korsanının OneDrive'a yönelik saldırılarını tespit etti ve engelledi.

İsrailli örgütlere saldırıp uzlaşma sağlarken, OneDrive'dan veri sızdırmaya ve bir komuta ve kontrol merkezi olarak hareket etmeye çalıştılar.

POLONIUM saldırılarıyla ilişkili 20'den fazla kötü amaçlı OneDrive uygulaması da Microsoft tarafından askıya alındı. Ayrıca, güvenlik istihbaratı güncellemeleri yoluyla, hedeflenen kuruluşlar bilgilendirildi ve tehdit aktörlerinin araçları karantinaya alındı.

Hedefler

20'den fazla İsrailli kuruluş ve bir hükümetlerarası kurum POLONIUM tarafından hedef alındı veya son üç ay içinde tehlikeye atıldı.

Saldırılar devam ettikçe, saldırganların esas olarak İsrail'in kritik altyapı türlerini hedef aldıkları listesi:

  • İmalat sanayileri
  • BT endüstrileri
  • Savunma sanayileri

Ek olarak, POLONIUM operatörleri muhtemelen tüm bu hack girişimlerini gerçekleştirmek için İran bağlantılı birkaç tehdit aktörüyle koordine olmuştur.

Microsoft, Polonium korsanlarının bazı saldırılarda İran İstihbarat ve Güvenlik Bakanlığı (MOIS) operatörlerinden daha önce ihlal edilmiş ağlara erişmiş olabileceğine dair göstergeler gözlemledi.

Kötü Amaçlı Yazılım Türleri Ve Kullanılan POLONIUM TTP'ler

BT devleri, OneDrive platformundaki hiçbir güvenlik açığının tehdit aktörleri tarafından istismar edilmediğini iddia etti.

Bunun yerine, saldırılarında birkaç kötü amaçlı yazılım suşu kullandılar ve bunların arasında popüler ve en savunmasız olanlardan bahsettik:

  • CreepyDrive
  • CreepySnail
  • Diğer PowerShell tabanlı implantlar

Bu hafta etkilenen kuruluşlar için birkaç güncelleme kullanıma sunulmuş olsa da, Microsoft, güvenlik güncellemelerinin bir parçası olarak POLONIUM operatörleri tarafından geliştirilen araçları karantinaya alacaklarını açıkladı.

Aşağıda POLONIUM tarafından kullanılan tüm TTP'lerden bahsettik:

  • Ortak benzersiz kurban hedefleme.
  • Olası "hand-off" işlemlerinin kanıtı.
  • C2 için OneDrive kullanımı.
  • AirVPN Kullanımı.

Kullanıcıların yaklaşık %80'inin CVE-2018-13379 istismarlarına karşı savunmasız Fortinet cihazlarını kullandığı ortaya çıkmıştır.

Öneriler

Aşağıda özetlenen güvenlik hususlarını benimseyerek, aktör tarafından kullanılan tekniklerin etkilerini azaltmak mümkündür:

  • Her zaman uzlaşma göstergelerini kullanın.
  • Microsoft Defender Virüsten Koruma'nın en son veya en son sürüme güncelleştirildiğinden emin olun.
  • "Uzlaşma göstergeleri" tablosunu kullanarak, bu tabloda listelenen IP adreslerinden gelen trafiği engelleyin.
  • VPN'ler (sanal özel ağlar) için tüm kimlik doğrulama etkinlikleri gözden geçirin.
  • Kimlik bilgilerinin güvenliğinin ihlal edilme olasılığını azaltmak için, çok faktörlü kimlik doğrulaması etkinleştirin.
  • Kuruluşunuzun ve yukarı akış sağlayıcılarının gereksiz izinleri paylaşmadığından emin olun.

Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url