130.000 Cihazdan Oluşan Devasa Çin Botnet'i Microsoft 365 Hesaplarını Hedef Alıyor

Güçlü bir Çin bağlantılı botnet, Microsoft 365 hesaplarına karşı büyük ölçekli parola püskürtme saldırıları başlatırken yakalandı ve işletmeleri ve kuruluşları ciddi riske attı. SecurityScorecard'a göre, bu botnet, 130.000'den fazla tehlikeye atılmış cihaz tarafından destekleniyor ve bu da onu türünün en büyük siber tehditlerinden biri yapıyor.

Saldırı Nasıl Çalışır?

Bu botnet, Microsoft 365 güvenliğindeki iki zayıf nokta olan etkileşimli olmayan oturum açma işlemlerini ve Temel Kimlik Doğrulamayı istismar ediyor ve saldırganların birçok yapılandırmada çok faktörlü kimlik doğrulamayı tetiklemeden çalınan kimlik bilgilerini test etmelerine olanak tanıyor.

Etkileşimsiz oturum açmalar genellikle hizmetten hizmete kimlik doğrulama ve POP, IMAP ve SMTP gibi eski protokoller için kullanılır ve bu da güvenlik ekipleri tarafından daha az incelenmesini sağlar. Microsoft tarafından kullanımdan kaldırılmış olsa da Temel Kimlik Doğrulama bazı ortamlarda hala etkindir ve kimlik bilgilerinin düz metin olarak iletilmesine olanak tanır; bu da bilgisayar korsanları için kolay bir hedeftir.

Botnet, genellikle bilgi hırsızı kötü amaçlı yazılım tarafından toplanan çalınan kullanıcı adlarını ve parolaları alır ve bunları Microsoft 365 hesaplarına karşı sistematik olarak test eder. Başarılı olurlarsa, saldırganlar hassas verilere erişir, iş operasyonlarını bozar ve bir kuruluş içinde yatay olarak hareket eder.

Bu Saldırıyı Tespit Etmek Neden Zor?

Bu saldırının en korkutucu yönlerinden biri gizliliğidir. Şifre püskürtme girişimleri etkileşimsiz oturum açmalar altında kaydedildiğinden, birçok güvenlik ekibi bu kayıtları yakından izlemeyi başaramaz. Bu, saldırganların hesaplara sistematik olarak girmeye çalışırken radarın altından geçmelerine olanak tanır.

SecurityScorecard ayrıca, dört saatlik bir süre zarfında 130.000 enfekte cihazla iletişim kuran Amerika Birleşik Devletleri'ndeki komuta ve kontrol sunucularını da tespit etti. Muhtemelen daha büyük bir küresel ağın parçası olan bu cihazlar, saldırganların operasyonlarını hızla ölçeklendirmelerini sağlar.

Botnet'in Arkasında Kim Var?

Saldırı bir Çin tehdit grubuyla ilişkilendirilmiş olsa da, atıf hala devam eden bir soruşturmadır. Ancak, bu botnet daha önce tanımlanmış Çin siber casusluk kampanyalarıyla ortak özelliklere sahiptir.

Microsoft, Ekim 2024'te birden fazla Çinli tehdit aktörünün büyük ölçekli bir parola püskürtme operasyonundan çalınan kimlik bilgilerini kullandığını bildirmiştir. Bu kampanya, CovertNetwork-1658, Xlogin ve Quad7 olarak bilinen tehlikeye atılmış ağlarla ilişkilendirilmiştir.

Kuruluşunuzu Nasıl Koruyabilirsiniz?

Bu botnet'in Microsoft 365 hesaplarını aktif olarak hedef alması nedeniyle, kuruluşların güvenliklerini güçlendirmek için acil adımlar atması gerekiyor:

• Ortamınızda Temel Kimlik Doğrulaması hala etkinse devre dışı bırakın.
• Tüm kullanıcılar için, özellikle etkileşimli olmayan oturum açma işlemleri için Modern Kimlik Doğrulama ve çok faktörlü kimlik doğrulamayı etkinleştirin.
• Olağandışı oturum açma kalıplarını tespit etmek için etkileşimli olmayan oturum açma günlüklerini düzenli olarak izleyin.
• Parola püskürtmelerini önlemek için sıkı parola politikaları uygulayarak ve düzenli değişiklikleri zorunlu kılarak güçlü ve benzersiz parolalar kullanın.
• Bilgisayar korsanlarının kimlik bilgilerini toplamak için kullandığı bilgi hırsızı kötü amaçlı yazılımlara karşı koruma sağlamak için uç nokta güvenlik çözümleri dağıtın.
• Mümkünse Microsoft 365 hesaplarına erişimi coğrafi olarak kısıtlayın ve oturum açma işlemlerini coğrafi konumlara göre sınırlayın.

Son Düşünceler

Microsoft 365'i hedef alan 130.000 cihazlık botnet, parola tabanlı saldırıların günümüzde hala en büyük siber güvenlik tehditlerinden biri olduğunun çarpıcı bir hatırlatıcısıdır. Birçok kuruluş hala eski kimlik doğrulama yöntemlerine güvenirken, saldırganlar bu zayıflıkları istismar etmeye devam ediyor.

İşletmeler, Microsoft 365 ortamlarını proaktif bir şekilde güvenceye alarak, olağandışı etkinlikleri izleyerek ve güçlü kimlik doğrulama politikalarını uygulayarak bu son derece karmaşık saldırıya kurban gitme risklerini azaltabilirler.