Bedrohungsakteur Nutzt Elastic Cloud SIEM zur Verwaltung gestohlener Daten
Huntress-Forscher haben eine Kampagne aufgedeckt, bei der ein Bedrohungsakteur Schwachstellen ausnutzte, um Daten zu stehlen. Die gestohlenen Informationen wurden anschließend über Elastic Cloud SIEM verwaltet, das dem Angreifer als Daten-Hub diente. Spezifische Details zu Art oder Umfang der kompromittierten Daten sind derzeit nicht verfügbar.
Bedrohungsakteur Nutzt Elastic Cloud SIEM für Datenexfiltration und -verwaltung
Cybersicherheitsforscher von Huntress haben kürzlich eine ausgeklügelte Kampagne identifiziert und detailliert beschrieben, bei der ein böswilliger Akteur verschiedene Schwachstellen ausnutzte, um Systeme zu kompromittieren und sensible Daten zu stehlen. Ein kritischer Aspekt dieser Operation ist die ungewöhnliche und besorgniserregende Nutzung von Elastic Cloud SIEM (Security Information and Event Management) als zentrale Komponente zur Verwaltung und potenziellen Exfiltration der gestohlenen Informationen.
Vorgehensweise des Bedrohungsakteurs
Die von Huntress beschriebene Kampagne zeigt einen mehrstufigen Angriffsprozess. Zunächst verschaffte sich der Bedrohungsakteur unbefugten Zugriff auf Zielsysteme, indem er nicht gepatchte Schwachstellen ausnutzte. Obwohl die genaue Art dieser Schwachstellen im ersten Bericht nicht vollständig offengelegt wurde, wird davon ausgegangen, dass sie den notwendigen Ausgangspunkt für ein tieferes Eindringen bildeten.
Nach dem Eindringen begann der Angreifer mit dem Sammeln von Daten. Anstatt eine eigene Infrastruktur für die Datenbereitstellung und -verwaltung einzurichten, nutzte der Akteur geschickt legitime Elastic Cloud SIEM-Instanzen. Diese Technik ermöglicht es dem Angreifer:
Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.
Jetzt Prüfen →- Sich zu tarnen: Die Verwendung eines legitimen Cloud-Dienstes erschwert die Erkennung der bösartigen Aktivität, da der Datenverkehr zu und von Elastic Cloud als normale operative Aktivität angesehen werden könnte.
- Robuste Infrastruktur zu nutzen: Elastic Cloud bietet skalierbare und zuverlässige Funktionen zur Datenspeicherung und -verwaltung, die der Bedrohungsakteur für seine illegalen Aktivitäten zweckentfremdete.
- Operationen zu vereinfachen: Durch die Nutzung einer bestehenden SIEM-Lösung profitiert der Angreifer von deren integrierten Indexierungs-, Such- und Verwaltungsfunktionen, was die Handhabung gestohlener Daten rationalisiert.
Auswirkungen auf die Cybersicherheit
Diese Entdeckung unterstreicht einen wachsenden Trend, bei dem Bedrohungsakteure legitime Cloud-Dienste und -Plattformen, einschließlich der Cybersicherheitstools selbst, missbrauchen, um ihre Ziele zu erreichen. Die Verwendung einer SIEM-Plattform, die normalerweise zur Verbesserung der Sicherheit entwickelt wurde, als Werkzeug zur Verwaltung gestohlener Daten stellt eine einzigartige Herausforderung für Verteidiger dar.
Organisationen, die Elastic Cloud oder andere SIEM-Lösungen verwenden, sollten:
- SIEM-Nutzung überwachen: Strenge Überwachung für ungewöhnliche Datenaufnahme-Muster, übermäßige Datenübertragungen oder Zugriffe von verdächtigen IP-Adressen innerhalb ihrer SIEM-Umgebungen implementieren.
- Schwachstellen umgehend patchen: Sicherstellen, dass alle Systeme regelmäßig aktualisiert und gepatcht werden, um eine anfängliche Ausnutzung zu verhindern.
- Starke Zugriffssteuerungen implementieren: Das Prinzip der geringsten Rechte für alle Cloud-Dienste und internen Systeme anwenden.
- Cloud-Konfigurationen überprüfen: Regelmäßig die Konfigurationen von Cloud-Diensten überprüfen, um potenzielle Fehlkonfigurationen zu identifizieren und zu beheben, die ausgenutzt werden könnten.
Obwohl der genaue Typ und Umfang der in dieser Kampagne kompromittierten Daten nicht veröffentlicht wurden, dienen die Erkenntnisse als kritische Erinnerung an die sich entwickelnden Taktiken der Gegner und die Notwendigkeit robuster, proaktiver Cybersicherheitsabwehr.
Quelle
https://www.infosecurity-magazine.com/news/elastic-cloud-siem-manage-stolen/