Güvenlik araştırmacıları, LockBit fidye yazılımıyla güvenliği ihlal edilen bölgesel bir ABD devlet kurumunun, yük dağıtılmadan önce en az beş ay boyunca tehdit aktörünün ağında bulunduğunu tespit etti.
Güvenliği ihlal edilmiş makinelerden alınan günlükler, iki tehdit grubunun onları ele geçirdiğini ve keşif ve uzaktan erişim operasyonlarıyla meşgul olduğunu gösterdi.
Saldırganlar, Olay Günlüklerini silerek izlerini kaldırmaya çalıştılar, ancak dosyaların parçaları, tehdit analistlerinin aktör ve taktikleri hakkında bir fikir edinmelerine izin verdi.
İlk uzlaşma
Saldırıya izin veren ilk erişim, teşkilat teknisyenlerinden birinin bir bakım işleminin ardından devre dışı bıraktığı koruyucu bir özellikti.
Siber güvenlik şirketi Sophos’taki araştırmacılara göre, aktör ağa yanlış yapılandırılmış bir güvenlik duvarındaki açık uzak masaüstü (RDP) bağlantı noktaları aracılığıyla erişti ve ardından saldırı için gereken araçları indirmek için Chrome’u kullandı.
Araç seti, kaba zorlama, tarama, ticari bir VPN için yardımcı programlar ve PsExec, FileZilla, Process Explorer ve GMER gibi dosya yönetimine ve komut yürütülmesine izin veren ücretsiz araçlar içeriyordu.
Ek olarak, bilgisayar korsanları ScreenConnect gibi uzak masaüstü ve uzaktan yönetim yazılımlarını ve daha sonra saldırıda AnyDesk’i kullandılar.
Saldırganlar bu noktadan sonra gizlice vakit geçirdiler ve sadece ağ üzerindeki uzlaşmalarını genişletmek için değerli hesap kimlik bilgilerini çalmaya çalıştılar.
Bir noktada, Etki Alanı Yöneticisi izinlerine de sahip olan yerel bir sunucu yöneticisinin kimlik bilgilerini ele geçirdiler, böylece diğer sistemlerde yönetici ayrıcalıklarına sahip yeni hesaplar oluşturabildiler.
oyunu yükseltmek
İlk uzlaşmadan beş ay sonra başlatılan saldırının ikinci aşamasında, daha sofistike bir aktör devralmış gibi görünüyor ve Sophos’un artık operasyondan daha üst düzey bir aktörün sorumlu olduğunu varsaymasına neden oluyor.
“Güvenliği ihlal edilmiş sunucudaki günlüklerden ve tarayıcı geçmişi dosyalarından kurtarılan etkinliğin doğası bize, ağa ilk giren tehdit aktörlerinin uzman değil, acemi oldukları ve daha sonra kontrollerini devretmiş olabilecekleri izlenimini verdi. sonunda fidye yazılımı yükünü teslim eden bir veya daha fazla farklı, daha karmaşık gruba uzaktan erişim” – sofos
Yeni aşama, güvenliği ihlal edilmiş sunucudan kimlik bilgileri kümelerini çıkarmak için Mimikatz ve LaZagne sömürü sonrası aracının yüklenmesiyle başladı.
Saldırganlar, günlükleri silerek ve uzaktan komutlar aracılığıyla sistem yeniden başlatmaları gerçekleştirerek, 60 sunucuyu çevrimdışına alan ve ağı bölümlere ayıran sistem yöneticilerini uyararak varlıklarını daha belirgin hale getirdiler.
Bu olay yanıtı sırasında ikinci bir hata, uç nokta güvenliğini devre dışı bıraktı. Bu noktadan itibaren, iki taraf tedbirler ve karşı hamleler konusunda açık bir çatışmaya girdi.
“Saldırganlar hesap kimlik bilgilerini boşaltırken, ağ numaralandırma araçlarını çalıştırırken, RDP yeteneklerini kontrol ederken ve muhtemelen kesintiye uğramaları durumunda kendilerine seçenekler sunmak için yeni kullanıcı hesapları oluşturdukça, sürekli bir tablo belirleme etkinliği akışı gerçekleşti” – sofos
“Saldırının altıncı ayının ilk gününde, saldırgan Gelişmiş IP Tarayıcıyı çalıştırarak ve neredeyse anında birden fazla hassas sunucuya yatay hareket ederek büyük hamlesini yaptı. Dakikalar içinde, saldırgan bir dizi hassas personele erişebilir ve satın alma işlemini gerçekleştirebilir. dosyalar”, raporu Sophos’tan bildirir.
Sophos müdahale çalışmasına katıldı ve düşmanlara uzaktan erişim sağlayan sunucuları kapattı, ancak ağın bir kısmı LockBit ile zaten şifrelenmişti.
Birkaç makinede, dosyalar LockBit’in son ekiyle yeniden adlandırılmış olsa da, hiçbir şifreleme gerçekleşmedi, bu nedenle onları geri yüklemek, yeniden adlandırma eylemini tersine çevirme meselesiydi.
Götürmek
Araştırmacılar, çok faktörlü kimlik doğrulama (MFA) korumasının uygulanmasının, bilgisayar korsanlarının özgürce hareket etmesini engelleyeceği veya en azından güvenliği ihlal edilmiş ağ üzerindeki eylemlerini önemli ölçüde engelleyeceği için farklı bir sonuca yol açacağını söylüyor.
Tehdit aktörlerini yavaşlatabilecek bir diğer kritik güvenlik özelliği, RDP bağlantı noktalarına uzaktan erişimi engelleyen bir güvenlik duvarı kuralıdır.
Son olarak, bu vaka, bakım ve olay müdahale hataları konusunu ve acil durumlarda bile güvenlik kontrol listelerini takip etme ihtiyacını vurgulamaktadır.