İki hacker grubu olan DEV-1084 ve MuddyWater Yıkıcı Siber Saldırılar Yapıyor.
İran merkezli ulus-devlet tehdit grubu MuddyWater şirket içi ve bulut altyapısını hedeflediği biliniyor. Son zamanlarda yapılan saldırılarda bir fidye yazılımı operasyonu gibi davranıyor, ancak sistemleri yok etmek için gizli bir gündem taşıyor.
Hibrit ortama yönelik bu yıkıcı saldırılar için DEV-1084 adlı yeni ve ortaya çıkan hacker grubuyla ortaklık kurdu.
Neler oluyor?
Microsoft Tehdit İstihbarat ekibinin bir raporuna göre ortak olarak fidye yazılımı saldırıları gerçekleştirmeye çalışıyor. Ancak nihai amaç, kaynakların kitlesel olarak etkilemek.
MuddyWater group (diğer adıyla Boggy Serpens, Earth Vetala ve Cobalt Ulster), daha sonra başka eylemler için DEV-1084’e verilen Log4j 2 gibi yamasız uygulamalardaki güvenlik açıklarından yararlanarak muhtemelen ilk erişimi kazanır.
DEV-1084, kapsamlı araştırma ve keşif gerçekleştirir, kalıcı erişim sağlar ve genellikle birkaç ay boyunca ağ üzerinden hareket gerçekleştirir.
Siber Saldırı Detayları
Keşif aşamasında DEV-1084 saldırıların bir sonraki aşaması için yüksek ayrıcalıklı hesaplardan güvenliği ihlal edilen kimlik bilgilerini kötüye kullanır.
Bağlı tüm şirket içi cihazları şifreler ve sunucu çiftlikleri, depolama hesapları, sanal makineler ve sanal ağlar dahil olmak üzere erişilebilir tüm bulut tabanlı kaynakları siler.
İlginizi çekebilecek yazımız:
İlgili Yazı: 2023 Yılının 10 Siber Güvenlik TrendiDEV-1084 E-posta gelen kutularına Exchange Web Hizmetleri aracılığıyla erişir ve diğer çalışanlara ve diğer harici kişilere spam e-postalar göndermek için kullanır ve üst düzey bir çalışanın kimliğine bürünür.
Ayrıca, yerel Windows araçlarını ve komutlarını (netstat ve nltest) kullanarak web kabukları ve uzaktan erişim araçları (RPort, Ligolo ve eHorus) yükleme, yeni kullanıcı hesapları ekleme, ayrıcalık yükseltme, kimlik bilgisi hırsızlığı ve ağ bulma gibi ek kötü amaçlı etkinlikler gerçekleştirir.
DEV-1084 ve MuddyWater Arasındaki Bağlantı
Araştırmacılar, aynı altyapının IP adreslerinin ve araçların kullanımı da dahil olmak üzere iki grup arasında bir bağlantıya işaret eden birkaç ortak faktör belirlediler.
Bir IP adresi (146.70.106[.]89) ve bir alan adı (vatacloud[.] com) DEV-1084 tarafından kullanılan geçmiş saldırılarda MuddyWater ile ilişkilendirilmiştir.
DEV-1084 ayrıca MULLVAD VPN, Rport aracı ve tümü MuddyWater tarafından kullanıldığı bilinen ters tünel oluşturma aracı Ligolo’nun özel bir geliştirici sürümünü kullanır.
Sonuç
MuddyWater, altında çalışan birkaç alt gruptan oluşan bir üst grup olduğuna inanılıyor. DEV-1084 ile koordineli siber saldırı gerçekleştirdiği, üst grubun alt gruplara özel görevler atadığı bir altyapı ve kaynak havuzunu paylaştığı aynı yaklaşımın bir başka adımı olduğuna inanılıyor.
Dahası, DEV-1084 ağ yayılımı ve veri hırsızlığı becerilerine sahip casusluk konusunda uzmanlaşmış bir grup gibi görünüyor.
Bu tür canlı tehditlere karşı korunmak için uzmanlar, güvenilir ve test edilmiş bir olay müdahale planı ile tamamlanan derinlemesine bir savunma stratejisine sahip olmanızı önerir.
Bu haber Cyware sitesinden çevirilmiştir.
Haber Kaynağı: Cyware Social