Təhlükə Aktoru Oğurlanmış Məlumatları İdarə Etmək Üçün Elastic Cloud SIEM-dən İstifadə Edir
Huntress tədqiqatçıları, təhlükə aktorunun zəifliklərdən istifadə edərək məlumat oğurladığı yeni bir kampaniyanı aşkar edib. Oğurlanmış məlumatlar, hücumçu tərəfindən məlumat mərkəzi kimi istifadə olunan Elastic Cloud SIEM vasitəsilə idarə edilib. Təsirə məruz qalan qeydlərin sayı və ya oğurlanmış məlumatların növləri barədə ətraflı məlumat yoxdur.
Təhlükə Aktoru Məlumat Sızması İdarəetməsi Üçün Elastic Cloud SIEM-i İstifadə Edir
Huntress kiber təhlükəsizlik tədqiqatçıları, pis niyyətli bir aktorun müxtəlif zəifliklərdən istifadə edərək sistemləri pozduğu və həssas məlumatları oğurladığı mürəkkəb bir kampaniyanı bu yaxınlarda müəyyən edib və təfərrüatlandırıb. Bu əməliyyatın kritik tərəfi, oğurlanmış məlumatları idarə etmək və potensial olaraq sızdırmaq üçün Elastic Cloud SIEM (Təhlükəsizlik Məlumatı və Hadisə İdarəetməsi) məhsulunun qeyri-adi və narahatedici şəkildə mərkəzi komponent kimi istifadə edilməsidir.
Təhlükə Aktorunun Fəaliyyət Metodu
Huntress tərəfindən təsvir olunan kampaniya, çoxmərhələli hücum prosesini vurğulayır. Başlanğıcda, təhlükə aktoru yamaqlanmamış zəifliklərdən istifadə edərək hədəf sistemlərə icazəsiz giriş əldə etdi. Bu zəifliklərin dəqiq xarakteri ilkin hesabatda tam açıqlanmasa da, daha dərin nüfuz etmək üçün zəruri zəmin yaratdıqları anlaşılır.
Daxil olduqdan sonra, hücumçu məlumat toplamağa başladı. Məlumatların yerləşdirilməsi və idarə edilməsi üçün xüsusi infrastruktur qurmaq əvəzinə, hücumçu Elastic Cloud SIEM nümunələrindən ustalıqla istifadə etdi. Bu texnika hücumçuya aşağıdakıları etməyə imkan verir:
E-poçtunuz sızdırılıb? Pulsuz yoxlayın — saniyələr içində nəticə.
İndi Yoxla →- Gizlənmək: Qanuni bulud xidmətindən istifadə etmək, Elastic Cloud-a gedən və gələn trafikin normal əməliyyat fəaliyyəti kimi qəbul edilə biləcəyi üçün pis niyyətli fəaliyyəti aşkar etməyi çətinləşdirir.
- Möhkəm İnfrastrukturdan İstifadə Etmək: Elastic Cloud genişlənə bilən və etibarlı məlumat saxlama və idarəetmə imkanları təklif edir; təhlükə aktoru bu imkanları qanunsuz fəaliyyətləri üçün yenidən istifadə etdi.
- Əməliyyatları Sadələşdirmək: Mövcud bir SIEM həllini istifadə edərək, hücumçu oğurlanmış məlumatların idarə edilməsini asanlaşdıran daxili indeksləşdirmə, axtarış və idarəetmə funksiyalarından faydalanır.
Kiber Təhlükəsizlik Üçün Çıxarışlar
Bu kəşf, təhlükə aktorlarının öz məqsədlərinə çatmaq üçün qanuni bulud xidmətlərini və platformalarını, hətta kiber təhlükəsizlik alətlərinin özlərini də sui-istifadə etmə meylinin artdığını göstərir. Təhlükəsizliyi artırmaq üçün nəzərdə tutulmuş bir SIEM platformasının, oğurlanmış məlumatları idarə etmək üçün bir vasitə kimi istifadə edilməsi, müdafiəçilər üçün bənzərsiz bir çətinlik yaradır.
Elastic Cloud və ya digər SIEM həllərini istifadə edən təşkilatlar aşağıdakıları etməlidir:
- SIEM İstifadəsinə Nəzarət: SIEM mühitlərində qeyri-adi məlumat qəbulu nümunələri, həddindən artıq məlumat ötürülməsi və ya şübhəli IP ünvanlarından giriş üçün ciddi nəzarət tədbirləri tətbiq etməlidir.
- Zəiflikləri Tez Bir Zamanda Aradan Qaldırmaq: İlkin istismarın qarşısını almaq üçün bütün sistemlərin müntəzəm olaraq yeniləndiyinə və yamaqlandığına əmin olmalıdır.
- Güclü Giriş Nəzarətləri Tətbiq Etmək: Bütün bulud xidmətlərinə və daxili sistemlərə ən az imtiyaz prinsipini tətbiq etməlidir.
- Bulud Konfiqurasiyalarını Nəzərdən Keçirmək: İstismar edilə biləcək potensial yanlış konfiqurasiyaları müəyyən etmək və azaltmaq üçün bulud xidməti konfiqurasiyalarını mütəmadi olaraq yoxlamalıdır.
Bu kampaniyada təhlükəyə atılan məlumatların dəqiq növü və həcmi açıqlanmasa da, tapıntılar düşmənlərin istifadə etdiyi inkişaf edən taktikaların və möhkəm, proaktiv kiber təhlükəsizlik müdafiələrinin zəruriliyinin kritik bir xatırlatmasıdır.
Mənbə
https://www.infosecurity-magazine.com/news/elastic-cloud-siem-manage-stolen/