APT29 Tehdit Aktörlerinin En Çok Kullanmış Olduğu Saldırı Yöntemleri

20 Nis, 2021

Siber Güvenlik Haberleri

APT29 Tehdit Aktörlerinin En Çok Kullanmış Olduğu Saldırı Yöntemleri

Ulusal Güvenlik Ajansı (NSA), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), SVR’ın (Rusya Dış İstihbarat Servisi) desteklemiş olduğu düşünülen APT29 hacker grubunun bilinen beş güvenlik açığından sıkça yararlandığını açıkladı.

APT29 yani Cozy Bear ve The Dukes isimli siber tehdit aktörleri olarak tanınan hacker grubunun exploit etmiş olduğu zafiyetler CVE veri tabanında listelenmiştir.
CVE listeleri şu şekildedir:

CVE-2018-13379: Fortinet FortiGate VPN zafiyeti
CVE-2019-9670: Synacor Zimbra Collaboration Suite zafiyeti
CVE-2019-11510: Pulse Secure Pulse Connect Secure VPN zafiyeti
CVE-2019-19781: Citrix Application Delivery Controller and Gateway zafiyeti
CVE-2020-400: VMware Workspace ONE Access zafiyeti

Saldırganların kullanmış olduğu teknikler;

Public olmuş güvenlik açıklarını kullanırlar: Düşmanlar, istenmeyen veya beklenmeyen davranışlara neden olmak için yazılım, veri veya komutlar kullanarak İnternet’e bağlı bir bilgisayardaki veya programdaki bir zayıflıktan yararlanmaya çalışırlar.
Harici uzaktan hizmetlerden yararlanırlar: Siber tehdit aktörleri, başlangıçta bir ağa erişmek ve / veya bir ağ içinde kalmak için dışarıya bağlı uzak hizmetleri kullanabilir. VPN’ler, Citrix ve diğer erişim mekanizmaları (özellikle RDP) gibi uzak hizmetler, kullanıcıların harici konumlardan dahili kurumsal ağ kaynaklarına bağlanmasına olanak tanır.
Kullanıcıların, veri veya sistem uzlaşması amacıyla nihai tüketici tarafından alınmadan önce ürünleri veya ürün teslimat mekanizmalarını manipüle edebilir.
Default hesaplar kullanmak: Rakipler, erişim elde etmenin veya izinleri yükseltmenin bir yolu olarak mevcut hesapların kimlik bilgilerini elde edebilir ve kötüye kullanabilir.

Siber tehdit aktörleri, kimlik bilgilerini toplamak amacıyla yazılım güvenlik açıklarından yararlanabilirler.
Sahte web kimlik bilgileri: Saldırgan geçerli bir SAML belirteç imzalama sertifikasına sahipse, herhangi bir izin talebi ve yaşam süresiyle SAML belirteçlerini taklit edebilir.

NSA, CISA ve FBI beş güvenlik açığıyla ilgili Uzlaşma Göstergeleri (IOC’ler) için ağlarını kontrol etmeye teşvik ediyor.

Kaynak:
nsa.gov

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

Teklif Talep Edin