Siber Saldırgan Çalınan Verileri Yönetmek İçin Elastic Cloud SIEM Kullandı
Huntress araştırmacıları, bir siber saldırganın güvenlik açıklarını istismar ederek veri çaldığı yeni bir kampanya ortaya çıkardı. Çalınan veriler, saldırgan tarafından bir veri merkezi olarak kullanılan Elastic Cloud SIEM üzerinden yönetildi. Etkilenen kayıt sayısı veya çalınan verilerin türleri hakkında detaylı bilgi mevcut değildir.
Siber Saldırgan Veri Sızıntısı Yönetimi İçin Elastic Cloud SIEM'i Kullandı
Huntress siber güvenlik araştırmacıları, kötü niyetli bir aktörün çeşitli güvenlik açıklarını istismar ederek sistemleri tehlikeye attığı ve hassas verileri çaldığı sofistike bir kampanyayı yakın zamanda tespit edip detaylandırdı. Bu operasyonun kritik bir yönü, çalınan bilgileri yönetmek ve potansiyel olarak dışarı sızdırmak için Elastic Cloud SIEM (Güvenlik Bilgileri ve Olay Yönetimi) ürününün alışılmadık ve endişe verici bir şekilde merkezi bir bileşen olarak kullanılmasıdır.
Tehdit Aktörünün Hareket Tarzı
Huntress tarafından açıklanan kampanya, çok aşamalı bir saldırı sürecini vurgulamaktadır. Başlangıçta, tehdit aktörü yama uygulanmamış güvenlik açıklarını istismar ederek hedef sistemlere yetkisiz erişim sağladı. Bu güvenlik açıklarının kesin niteliği ilk raporda tam olarak açıklanmamış olsa da, daha derin penetrasyon için gerekli temeli sağladıkları anlaşılmaktadır.
İçeri girdikten sonra, saldırgan veri toplamaya başladı. Verileri hazırlamak ve yönetmek için özel altyapılar kurmak yerine, saldırgan Elastic Cloud SIEM örneklerini ustaca kullandı. Bu teknik, saldırganın şunları yapmasına olanak tanır:
E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.
Hemen Sorgula →- Gizlenme: Yasal bir bulut hizmeti kullanmak, Elastic Cloud'a giden ve gelen trafiğin normal operasyonel etkinlik olarak değerlendirilebileceği için kötü niyetli etkinliği tespit etmeyi zorlaştırır.
- Sağlam Altyapı Kullanımı: Elastic Cloud, ölçeklenebilir ve güvenilir veri depolama ve yönetim yetenekleri sunar; tehdit aktörü bu yetenekleri yasa dışı faaliyetleri için yeniden kullandı.
- İşlemleri Basitleştirme: Mevcut bir SIEM çözümünü kullanarak, saldırgan çalınan verilerin işlenmesini kolaylaştıran yerleşik dizinleme, arama ve yönetim işlevlerinden yararlanır.
Siber Güvenlik İçin Çıkarımlar
Bu keşif, tehdit aktörlerinin hedeflerine ulaşmak için meşru bulut hizmetlerini ve platformlarını, hatta siber güvenlik araçlarının kendilerini kötüye kullanma eğiliminin arttığını göstermektedir. Güvenliği artırmak için tasarlanmış bir SIEM platformunun, çalınan verileri yönetmek için bir araç olarak kullanılması, savunmacılar için benzersiz bir zorluk teşkil etmektedir.
Elastic Cloud veya diğer SIEM çözümlerini kullanan kuruluşlar şunları yapmalıdır:
- SIEM Kullanımını İzleme: SIEM ortamlarında alışılmadık veri alım desenleri, aşırı veri transferleri veya şüpheli IP adreslerinden erişim için sıkı izleme uygulamaları uygulamalıdır.
- Güvenlik Açıklarını Hızla Yama: İlk istismarı önlemek için tüm sistemlerin düzenli olarak güncellendiğinden ve yamalandığından emin olmalıdır.
- Güçlü Erişim Kontrolleri Uygulama: Tüm bulut hizmetlerine ve dahili sistemlere en az ayrıcalık ilkesini uygulamalıdır.
- Bulut Konfigürasyonlarını Gözden Geçirme: İstismar edilebilecek potansiyel yanlış konfigürasyonları belirlemek ve azaltmak için bulut hizmeti konfigürasyonlarını düzenli olarak denetlemelidir.
Bu kampanyada tehlikeye atılan verilerin tam türü ve hacmi açıklanmamış olsa da, bulgular, düşmanların kullandığı gelişen taktiklerin ve sağlam, proaktif siber güvenlik savunmalarının gerekliliğinin kritik bir hatırlatıcısıdır.
Kaynak
https://www.infosecurity-magazine.com/news/elastic-cloud-siem-manage-stolen/