Злоумышленник Использует Elastic Cloud SIEM Для Управления Украденными Данными
Исследователи Huntress обнаружили кампанию, в ходе которой злоумышленник использовал уязвимости для кражи данных. Украденная информация затем управлялась с помощью Elastic Cloud SIEM, служившей центром данных для атаки. Подробности о типе или объеме скомпрометированных данных в настоящее время недоступны.
Злоумышленник Использовал Elastic Cloud SIEM Для Управления Утечкой Данных
Исследователи кибербезопасности из Huntress недавно выявили и подробно описали сложную кампанию, в которой вредоносный субъект использовал различные уязвимости для компрометации систем и кражи конфиденциальных данных. Критическим аспектом этой операции является необычное и вызывающее беспокойство использование Elastic Cloud SIEM (Security Information and Event Management) в качестве центрального компонента для управления и потенциального вывода украденной информации.
Методы Действия Злоумышленника
Кампания, описанная Huntress, подчеркивает многоэтапный процесс атаки. Первоначально злоумышленник получил несанкционированный доступ к целевым системам, используя неустраненные уязвимости. Хотя конкретный характер этих уязвимостей не был полностью раскрыт в первоначальном отчете, предполагается, что они обеспечили необходимую точку опоры для более глубокого проникновения.
После получения доступа злоумышленник приступил к сбору данных. Вместо создания собственной инфраструктуры для хранения и управления данными, злоумышленник умело использовал легитимные экземпляры Elastic Cloud SIEM. Этот метод позволяет злоумышленнику:
Ваш email в утечке? Проверьте бесплатно — результат за секунды.
Проверить →- Оставаться Незамеченным: Использование легитимного облачного сервиса затрудняет обнаружение вредоносной активности, поскольку трафик к Elastic Cloud и от него может считаться обычной операционной деятельностью.
- Использовать Надежную Инфраструктуру: Elastic Cloud предлагает масштабируемые и надежные возможности хранения и управления данными, которые злоумышленник перепрофилировал для своих незаконных действий.
- Упростить Операции: Используя существующее SIEM-решение, злоумышленник пользуется его встроенными функциями индексирования, поиска и управления, что упрощает обработку украденных данных.
Последствия для Кибербезопасности
Это открытие подчеркивает растущую тенденцию, когда злоумышленники злоупотребляют легитимными облачными сервисами и платформами, включая сами инструменты кибербезопасности, для достижения своих целей. Использование платформы SIEM, обычно предназначенной для повышения безопасности, в качестве инструмента для управления украденными данными представляет собой уникальную проблему для защитников.
Организации, использующие Elastic Cloud или другие SIEM-решения, должны:
- Мониторить Использование SIEM: Внедрять строгий мониторинг необычных паттернов приема данных, чрезмерной передачи данных или доступа с подозрительных IP-адресов в своих SIEM-средах.
- Своевременно Устранять Уязвимости: Обеспечивать регулярное обновление и исправление всех систем для предотвращения первоначальной эксплуатации.
- Внедрять Строгие Контроли Доступа: Применять принцип наименьших привилегий ко всем облачным сервисам и внутренним системам.
- Проверять Конфигурации Облачных Сервисов: Регулярно проверять конфигурации облачных сервисов для выявления и устранения потенциальных неправильных настроек, которые могут быть использованы.
Хотя точный тип и объем данных, скомпрометированных в этой кампании, не были опубликованы, полученные данные служат критическим напоминанием о развивающейся тактике, используемой злоумышленниками, и необходимости надежной, проактивной кибербезопасности.
Источник
https://www.infosecurity-magazine.com/news/elastic-cloud-siem-manage-stolen/