Bulut Screenconnect'e dayanan uzaktan bakım yazılımının yöneticilerinde bir Lancia Kimlik avı kampanyası gerçekleşir. BT güvenlik araştırmacıları keşfetti. Saldırganlar, fidye yazılımlarını konumlandırmak için ağlara ilk erişimle ilgilenir.
Kimlik avı Speer kampanyasının bir analizinde Mimecast, kampanyanın 2022'den bu yana farklı koşularda etkinleştirildiğini tartıştı. Saldırganlar her zaman nispeten birkaç ve bireysel turlarda 1000'e kadar para gönderdi. Bu, büyük ölçüde tespit edilmedikleri anlamına geliyor. Amazon Ceza Mineralleri, Posta Siparişi için Basit E -Email Hizmet Hesapları (SES) ve Giysiler, Yöneticiler veya ScreAnconnect ortamlarında daha fazla erişim haklarına sahip BT güvenlik çalışanları gibi ITler Lider Hedefi kullanır. Saldırganlar, özellikle tüm kuruluşların uzaktan erişim yapısı üzerinde büyük ölçekli kontrole izin veren süper addmin erişimini alıyorlar.
ScreenconConnect'te yöneticileri kontrol etmesi gereken yeni IP adreslerinden kimlik avı e-posta adreslerinin girişimi.
(Resim: Mimecast)
Saldırganlar logolar ve optik screAncect veya ConnectWise üreticisi kullanır. Kimlik avı e -Mail'de, yeni IP adreslerine erişim için bir alarmla karşılaşırlar. Bu nedenle postadaki “Güvenlik Güvenliği” düğmesi, orijinal görünüme dayanan kimlik avı sitelerine yol açar. URL'ler de ilk bakışta doğru görünüyor. Diğer şeylerin yanı sıra, gerçekten bağlanabilecekleri yüksek seviyeli alanlar kullanıyorsunuz, örneğin Bağlanma[.]com.ar VEYA Bağlanma[.]Com.be.
Gelişmiş Saldırılar
Kimlik avı siteleri için, kötü aktörler Evilginx'in açık kaynak çerçevesine güvenir. Ortada bir adam konumunda bulunur ve daha fazla grafaktör kimlik doğrulaması için veri ve erişim kodlarını kesmeye hizmet eder. Bu, saldırganların tehlikeye atılan erişime kalıcı erişim elde etmelerini sağlar. Yönetilen uç noktalara ek erişim araçları veya kötü amaçlı yazılım kurmak için kurbanların ağlarında yanal hareket için kullanırlar.
Saldırı alanları ve daha önce gözlemlenen altyapı hizmetleri şeklinde analiz ederken, enfeksiyonların gösterilerini (uzlaşma göstergeleri, yani) taklit eder. Bazı öneriler, erişimin erişimini geliştirmeye yardımcı olmayı amaçlamaktadır. Örneğin, şirketler yalnızca ScreAnconnect yöneticisinin yöneticisine kuruluşta yönetilen cihazlardan izin vermelidir. ScreAnconnect'e erişim için FIDO2/Web Taslağı'na geçiş de bunları kimlik avından korur. Analiz diğer olası optimizasyonlar sağlar.
ConnectWise ScreAnconnect'in uzak bakım yazılımı, saldırganlar olduğunda listenin başında. Haziran ayının başında, ABD Güvenlik Otoritesi Cisa devam eden saldırıları uyardı. Ancak aynı gün, saldırganlar sadece yazılımdaki güvenlik boşluklarına saldırmakla kalmadı, aynı zamanda ConnectWise, devlet tarafından kontrol edilen saldırganların tedarikçilerin ağlarına girdiğini duyurdu.
(DMK)
Bir yanıt yazın