Yazılım & İşletim SistemiOrta

Storm-2755 'Payroll Pirate' Saldırılarına Karşı Korunma ve Müdahale Rehberi

Storm-2755 tehdit aktörü tarafından gerçekleştirilen maaş çalma saldırılarını analiz ediyor ve IT ekipleri için önleyici güvenlik adımlarını detaylandırıyoruz.

B
Bleeping Computer Tutorials
30 görüntülenme
Storm-2755 'Payroll Pirate' Saldırılarına Karşı Korunma ve Müdahale Rehberi

Genel Bakış

Storm-2755 olarak tanımlanan tehdit aktörü, özellikle Kanada'daki çalışanları hedef alan ve 'Payroll Pirate' (Maaş Korsanı) olarak adlandırılan sofistike saldırılar gerçekleştirmektedir. Bu saldırılar, çalışanların maaş ödeme sistemlerine erişim sağlamak amacıyla hesap ele geçirme (Account Takeover) yöntemlerini kullanır. Bu makale, bu tür saldırıların nasıl önleneceğini ve olası bir ihlal durumunda atılması gereken teknik adımları açıklamaktadır.

Saldırı Vektörü

Saldırganlar, kimlik avı (phishing) yöntemleriyle çalışanların kimlik bilgilerini ele geçirmekte ve ardından maaş sistemlerindeki banka hesap bilgilerini değiştirerek ödemeleri kendi kontrollerindeki hesaplara yönlendirmektedir.

Önleyici Güvenlik Adımları

  1. Çok Faktörlü Kimlik Doğrulama (MFA): Tüm kurumsal hesaplarda, özellikle maaş sistemlerine erişimde, donanım tabanlı MFA veya FIDO2 anahtarları zorunlu kılınmalıdır.
  2. Erişim Kontrolü (RBAC): Maaş bilgilerine erişim yetkileri 'en az ayrıcalık' prensibine göre sınırlandırılmalıdır.
  3. Anomali İzleme: Maaş sistemindeki değişiklikleri (banka hesabı değişikliği vb.) anlık olarak izleyen ve uyarı veren otomasyonlar kurulmalıdır.
İpucu: Maaş bilgilerinde yapılan herhangi bir değişiklik, çalışanın kayıtlı ikincil iletişim kanalına (e-posta veya SMS) otomatik bir bildirim olarak gönderilmelidir.

Müdahale ve İnceleme Komutları

Bir ihlal şüphesi durumunda, Microsoft 365 ortamında şüpheli oturum açma etkinliklerini kontrol etmek için aşağıdaki PowerShell komutları kullanılabilir:

# Microsoft Graph üzerinden şüpheli oturum açma loglarını çekme
Get-MgAuditLogSignIn -Filter "UserPrincipalName eq 'hedef-kullanici@sirket.com'" | Select-Object CreatedDateTime, IpAddress, AppDisplayName

Ayrıca, hesap ele geçirme belirtisi olan 'yeni cihaz kaydı' veya 'yeni MFA yöntemi ekleme' gibi olaylar için log analizi yapılmalıdır:

# MFA yöntemi değişikliklerini kontrol etme
Get-MgAuditLogDirectoryAudit -Filter "ActivityDisplayName eq 'User registered security info'"

Sonuç

Storm-2755 saldırıları, kimlik güvenliğinin sadece giriş aşamasında değil, kritik sistemlerdeki işlem aşamasında da korunması gerektiğini göstermektedir. Sürekli izleme ve proaktif güvenlik politikaları, bu tür finansal odaklı saldırıların etkisini minimize etmek için hayati öneme sahiptir.

İlgili Makaleler