ABD Federal kurumları, Uzaktan Yönetim Yazılımı aracılığıyla Kimlik Avı Dolandırıcılığının kurbanı oldu


Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve diğer iki kurum; Ulusal Güvenlik Ajansı (NSA) ve Çok Devletli Bilgi Paylaşım ve Analiz Merkezi (MS-ISAC), Uzaktan İzleme ve Yönetim (RMM) Yazılımı aracılığıyla gerçekleşen bir kimlik avı dolandırıcılığına karşı federal kurumlara bir uyarı yayınladı.

Danışma belgesi, iki devlet firmasının saldırıya uğramasının ardından yayınlandı ve daha fazlası araştırılıyor.

Uyarıya göre, siber dolandırıcılar devlet kurumlarının çalışanlarına iki meşru RMM yazılımı olan ScreenConnect (ConnectWise Control) ve AnyDesk’i indirmeleri için e-posta gönderiyor. Çalışan hilelerinin tuzağına düştükten sonra, tehdit aktörleri kurbanın banka hesaplarından para çalmak için yeni kurulan dijital düzeni kullanır ve bunu bir geri ödeme dolandırıcılığına dönüştürür.

Kolluk kuvvetleri tarafından başlatılan soruşturmalar, saldırıların geçen yıl Haziran ve Eylül ayları arasında mali saiklerle gerçekleştirildiğini ve bilgisayar korsanlarının hileli erişim yoluyla parasal kazanç elde etmeyi başardıklarını ortaya koydu.

Endişe verici bir şekilde, siber suçlular ayrıntıları diğer bilgisayar korsanlığı gruplarına satarak erişimi silah haline getirirse, saldırı yakında daha fazla istismara neden olabilir.

Uzaktan yazılım kullanımı, özellikle WFH kültürünün Covid-19’un dayattığı kısıtlamalar sırasında ve sonrasında ortaya çıkmasından sonra, BT ekipleri için endişe verici bir tehdit haline geldi.

Ve bu tür koşullar altında, bilgisayar korsanlarının yardım masası temalı sosyal mühendislik odaklı siber saldırıları ortaya çıkarmak için muhteşem bir şansı olduğundan, BT personeli son derece dikkatli olmaya başlamalıdır. Kurbanın kötü amaçlı bir etki alanını ziyaret etmeye ya da ağır saiklerle hareket eden aktörle konuşmak için bir numarayı geri aramaya ikna edildiği durumlarda.

Daha sonra, kurbanın banka hesabına yanlışlıkla fazla bir meblağın iade edildiği bir örnek yaparlar ve onları parayı iade etmeye teşvik ederler.

Virginia merkezli Siber güvenlik platformu ‘Silent Push’, Ekim 2022’de bu anormalliği ilk tespit etti ve bu nedenle firmanın ihbarına dayanarak CISA, Kasım 2022’de Luna Moth adlı bir tehdit aktörüne götüren ayrıntılı bir soruşturma başlattı.

NSA, bu yılın Şubat ayının son haftasında bu saldırı hakkında daha fazla ayrıntı verecek.

reklam





Source link