- AWS, Rusya’daki GRU bağlantılı grupların Batı’nın kritik altyapısında varlığını sürdürmek için yanlış yapılandırılmış uç cihazlardan faydalanmak için yıllarını harcadığını söylüyor
- Etkinlik, araçları gizli kalıcılık için Hyper‑V ve Linux VM’lerini kötüye kullanan Curly COMrade’lerle örtüşüyor
- Amazon, uç donanımların acil olarak denetlenmesini, kimlik bilgilerinin yeniden kullanım kontrollerini ve şüpheli yönetici portalı erişiminin izlenmesini talep ediyor
Uzmanlar, Rus devleti destekli tehdit aktörlerinin neredeyse beş yıldır batıdaki önemli altyapı kuruluşlarında kalıcılık sağlamak için ağ donanımlarındaki yanlış yapılandırmaları ve farklı güvenlik açıklarını kötüye kullandığı konusunda uyardı.
Yeni bir tehdit raporunda (vA Kayıt), CJ Moses, Bilgi Güvenliği Direktörü (CISO), Amazon Entegre Güvenlik, birkaç yıldır devam eden kampanyanın boyutunu vurguladı.
Moses, “Kampanya, 2021’den günümüze uzanan operasyonlarla Batı’nın kritik altyapısına, özellikle de enerji sektörüne sürekli odaklanıldığını gösteriyor.” dedi.
Göz önünde saklanmak
Çoğu durumda, tehdit aktörleri kurumsal yönlendiricilerVPN yoğunlaştırıcıları, uzaktan erişim ağ geçitleri ve ağ yönetimi cihazları.
Pek çok sıfır gün kusuru da dahil olmak üzere çok sayıda güvenlik açığını kötüye kullanıyor olsalar da, öncelikle yanlış yapılandırmaları kötüye kullanmaya odaklanıyorlar. Moses bunun nedeninin, yanlış yapılandırmaların kötüye kullanılmasının önemli ölçüde daha küçük bir ayak izi bırakması ve bu nedenle fark edilmesi ve önlenmesinin çok daha zor olması olduğunu savunuyor.
Hedeflenen uç cihazlardan bazılarının AWS’de sanal cihazlar olarak barındırıldığı raporda ayrıca şirketin, kötü amaçlı etkinlik tespit edilir edilmez kampanyaları “sürekli olarak kesintiye uğratmak” için yoğun bir şekilde çalıştığı belirtiliyor.
Kampanyayı belirli bir tehdit aktörüne atfetmenin biraz zor olduğu ortaya çıktı, ancak AWS’nin bunun birden fazla grubun dahil olduğu daha geniş bir Ana İstihbarat Müdürlüğü (GRU) kampanyası olduğuna inanmak için nedenleri var.
Saldırılarla bağlantılı kuruluşlardan biri olan Curly COMrades adlı grup, diğer şeylerin yanı sıra kimliklerini de saklıyor. kötü amaçlı yazılım Windows cihazlarına dağıtılan Linux tabanlı VM’lerde.
Bu yılın kasım ayında, güvenlik araştırmacıları Bitdefender etkinleştirmek için uzaktan komutlar çalıştıran Curly COMrades’i bildirdi. Microsoft-hyper-v sanallaştırma özelliğini etkinleştirin ve yönetim arayüzünü devre dışı bırakın. Daha sonra bu özelliği, birden fazla kötü amaçlı yazılım implantasyonu içeren hafif Alpine Linux tabanlı bir VM indirmek için kullandılar.
Moses, “2026’ya girerken kuruluşların, ağ uç cihazlarının güvenliğini sağlamaya ve bu kalıcı tehdide karşı savunma yapmak için kimlik bilgileri tekrarlama saldırılarını izlemeye öncelik vermesi gerekiyor” dedi.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.