Bu ayın başlarında FBI, perakendecilerin güvenliğini tehlikeye atma ve sahte hediye kartları oluşturma konusunda uzmanlaşmış, Fas merkezli bir siber suç grubu olan Storm-0539 (diğer adıyla Atlas Lion) hakkında özel sektöre yönelik bir bildirim yayınladı.
Microsoft daha sonra grubun taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) daha derinlemesine ele aldı; bu, onların önemli keşif becerilerini, bulut ortamlarından yararlanma yeteneklerini ve operasyonel maliyetlerini düşük tutma çabalarını ortaya koyuyor.
Microsoft analistleri, “Storm-0539’un bulut tabanlı saldırı altyapısından ödün verme ve oluşturma becerisi, genel ön maliyetlerden kaçınmalarına olanak tanıyor” dedi.
Grup, sponsorlu veya indirimli hizmetler almak için kendilerini bulut sağlayıcılarına kar amacı gütmeyen meşru kuruluşlar olarak tanıtıyor, ücretsiz denemeler veya öğrenci hesapları kullanıyor ve sahte sayfalar barındırmak için yeni kayıtlı WordPress etki alanlarını tehlikeye atıyor.
Storm-0539 nasıl çalışır?
Grup, kamuya açık bilgileri analiz ederek çalışanların kişisel ve iş cep telefonu numaralarını ve e-postalarını tespit ediyor ve ardından onları verilen bağlantıyı takip etmeye teşvik eden mesajlarla hedef alıyor.
Storm-0539, hedeflenen bir çalışanın şirket yardım masasının kimliğine bürünüyor. (Kaynak: Microsoft Tehdit İstihbaratı)
“[Targeted users] analistler, kimlik bilgisi hırsızlığı ve ikincil kimlik doğrulama jetonunun ele geçirilmesi için bir AiTM kimlik avı sayfasına yönlendiriliyor” dedi.
Bu bilgiyle donanmış olarak, kendi cihazlarını kurban ortamlarına kaydedebilirler, böylece tehlikeye atılmış bir kurban hesabıyla ilişkili çok faktörlü kimlik doğrulama (MFA) istemlerini alabilirler.
Microsoft, “Hedeflenen bir kuruluştaki bir çalışanın hesabına sızıldığında, saldırganlar ağ üzerinde yanal hareket ederek hediye kartı iş sürecini tanımlamaya çalışıyor ve bu özel portföyle bağlantılı, güvenliği ihlal edilmiş hesaplara yöneliyor” diyor.
Grup, ele geçirilen çalışan hesaplarını kullanarak sahte hediye kartları oluşturuyor, ardından ya bu kartlarla ilişkili değeri kullanıyor, hediye kartlarını karaborsada satıyor ya da bunları nakde çevirmek için para kuryeleri kullanıyor.
FBI, “Bir örnekte, bir şirket, sistemlerinde Storm-0539’un sahte hediye kartı faaliyetini tespit etti ve sahte hediye kartlarının oluşturulmasını önlemek için değişiklikler başlattı” dedi.
“Storm-0539 aktörleri yok etme saldırılarına devam etti ve kurumsal sistemlere yeniden erişim elde etti. Daha sonra aktörler, kullanılmayan hediye kartlarını bulmak için taktikler değiştirdiler ve hediye kartlarını kullanmak için ilgili e-posta adreslerini Storm-0539 aktörleri tarafından kontrol edilen adreslerle değiştirdiler.”
Hedefler ve alınacak savunma eylemleri
Microsoft, ABD’deki yaz tatili sezonundan yararlanmak için son iki ayda Storm-0539’un izinsiz giriş aktivitesinde %30’luk bir artış gözlemlediklerini söylüyor. (Ancak her tatil sezonunda hediye kartı dolandırıcılığının artması da beraberinde gelir.)
Suç grubu en az 2021’den beri aktif ve tercih ettikleri hedeflerin (büyük perakendeciler, lüks markalar ve fast food restoranları) yaptığı değişikliklere uyum sağlamak için sürekli olarak teknik değiştiriyorlar.
Şirket, Storm-0539’un başarılı bir şekilde ele geçirilmesi riskini en aza indirmek için bir dizi karşı önlemin uygulanmasını önerdi.