Siber güvenlik manzarası, 2023’ten bu yana önemli operasyonel bağlantıları, taktik örtüşmeyi ve doğrudan işbirliğini paylaştığı tespit edilen en kötü şöhretli İngilizce konuşan siber suç gruplarından üçü (LAPSUS $, dağınık örümcek ve Shinyhunters) olarak gelişmeye devam ediyor.
Bu ilişkiler, güvenlik uzmanlarının şimdi küresel işletmeler için gelişmiş bir sürekli tehdit oluşturan son derece uyarlanabilir bir siber suç ekosistemi olarak tanımladığı şey yaratmıştır.
Son gelişmeler, bu gruplar arasındaki çizgilerin, sosyal mühendislik, örtüşen üyelik ve yüksek profilli hedeflere yönelik ortak saldırıları ile siber suç operasyonlarında daha önce görülmeyen bir kuruluş seviyesini gösteren saldırılarla giderek bulanık hale geldiğini ortaya koymaktadır.
Bu gruplar tarafından kullanılan saldırı vektörleri, teknik karmaşıklık açısından özellikle sofistike değildir, ancak hem insan zayıflıklarının hem de teknolojik yanlış yapılandırmaların dikkate değer bir koordinasyonunu ve sömürülmesini sergilemektedir.
Hedef ağlara erişim kazanma birincil yöntemleri, aktörlerin çalışanları veya yüklenicileri, BT masalarını yetkisiz erişim sağlanmasına yardımcı olmak için taklit ettikleri sosyal mühendislik tabanlı saldırılar olmaya devam etmektedir.
.webp)
Eylül 2025’teki “emeklilik” duyurusuna rağmen, zeka, bu grupların, önemli bir güvenilirlik ve derhal medya amplifikasyonu olmadan özel gasp için komuta itibarlarını kullanmalarını sağlayan başarılı ihlallerin kanıtlanmış bir geçmişini oluşturduklarını öne sürüyor.
Rezekilik analistleri, bir telgraf kanalının her üç grubun markalarını ve görünür üyeliklerini açıkça birleştirdiği Ağustos 2025’te en somut işbirliği kanıtını belirledi.
Sonunda Telegram tarafından yasaklanan bu kaotik kanal, tehditleri koordine etmek, veri sızıntılarını kızdırmak ve “Shinysp1d3r” olarak adlandırılan yeni bir fidye yazılımı sunmak için kullanıldı.
Operasyonel işbölümü netleşti: Shinyhunters, dağınık örümceğin, veri söndürme ve dökümleri ele alırken hedeflere başlangıç erişimini sağladığını ve Lapsus $ üyelerinin Salesforce ve Snowflake ihlalleri de dahil olmak üzere yüksek profilli kampanyalarda aktif katılımcılar olarak hizmet verdiğini doğruladı.
Grupların “com” kolektifi ile ilişkisi, birbirine bağlı doğalarını daha da gösteriyor.
Bu ağırlıklı olarak İngilizce konuşulan siber suçlu ekosistem, yirmili yaşlarındaki gençler ve bireyler olmak üzere geniş bir aktör yelpazesini kapsayan gevşek organize bir ağ olarak işlev görür.
Resmi COM kanalları aracılığıyla başarılı veri ihlallerinin amplifikasyonu, ortak ideoloji, üyelik, kaynaklar ve olası operasyonel koordinasyon olduğunu ve FBI’ın bu tür hareketlerin katılmasıyla ilgili riskler hakkında uyarılar vermesini önermektedir.
Sosyal Mühendislik ve Çok Faktörlü Kimlik Doğrulama Bypass teknikleri
Hacker gruplarının üçlüsü, birincil saldırı vektörü olarak hizmet eden sofistike sosyal mühendislik yöntemlerini rafine etmiştir ve birçok kuruluşun sağlam olduğunu düşündüğü modern güvenlik kontrollerini atlama konusunda özel bir uzmanlık.
Çok faktörlü kimlik doğrulama (MFA) sünnetine yaklaşımları, sosyal mühendisliğin basit kimlikten karmaşık, çok aşamalı psikolojik manipülasyon kampanyalarına evrimini göstermektedir.
Lapsus $, saldırganların hayal kırıklığı veya karışıklıktan birini onaylayana kadar kimlik doğrulama talepleri ile kurbanları sular altında bıraktığı MFA bombalama teknikleriyle birlikte SIM değiştirme kullanımına öncülük etti.
Bu teknik, dağınık örümcek tarafından yaygın olarak benimsenmiştir ve Shinyhunters tarafından Salesforce odaklı kampanyalarında giderek daha fazla kullanılmıştır.
Gruplar, saldırganların BT personelini taklit ettikleri ve genellikle keşif veya önceki ihlallerle elde edilen ayrıntılı organizasyonel bilgilerle silahlandırılan gelişmiş ar (ses kimlik avı) operasyonları kullanırlar.
%20(Source%20-%20Resecurity).webp)
Yardım masası taklit etme teknikleri, sosyal medya keşifleri ve veri broker hizmetleri aracılığıyla çalışan isimleri, organizasyon yapıları ve iç terminolojinin toplanması da dahil olmak üzere kapsamlı bir hazırlık içerir.
Saldırganlar genellikle cihazlarını kaybeden veya hesaptan kilitlenmiş çalışanlar olduğunu iddia eden yardım masalarını çağırır ve destek personelini kimlik bilgilerini sıfırlamaya veya erişim sağlamaya ikna etmek için yeterli otantik görünen bilgi sağlar.
OAuth Token Kötüye Kullanım Senaryolarında, özellikle Salesforce ortamlarını hedefleyen gruplar, uygulamalar ve bulut hizmetleri arasındaki güven ilişkisini kullanır.
Teknik uygulama, kullanıcıları MFA ve diğer güvenlik kontrollerini atlarken verilere kalıcı erişim sağlayan uzun ömürlü OAuth jetonları üreten Salesforce’da kötü niyetli “bağlı uygulamalar” yetkilendirilmesine kandırmayı içerir.
Bu jetonlar, bir kez elde edildikten sonra, saldırganların Müşteri İlişkileri Yönetimi (CRM) verilerine, Shinyhunters’ın 760 şirketten 1,5 milyardan fazla Salesforce rekoru çalma iddialarında gösterildiği gibi, ölçekte ölçekli olarak erişmelerine izin verir.
Salesloft ve Drift gibi meşru entegrasyonlarla ilişkili OAuth jetonlarının kötüye kullanılması, saldırganların meşru uygulama trafiği olarak görünürken sürekli erişimi korumak için modern bulut ortamlarının birbirine bağlı doğasını nasıl kullandıklarını gösteriyor.
Infostealers, Azorult, Lumma, Redline, Raccoon ve Vidar gibi kötü amaçlı yazılım ailelerini kullanan gruplar sadece kullanıcı adlarını ve şifreleri değil, aynı zamanda aktif oturum çerezlerini de hasat etmek için kimlik doğrulama bypass stratejisinde önemli bir rol oynarlar.
Bu çerezler, saldırganların doğrulanmış oturumları kaçırmasına ve giriş uyarıları veya MFA zorluklarını tetiklemeden sistemlere derhal erişim sağlamasına olanak tanır.
Bu saldırıların sofistike doğası, geleneksel güvenlik önlemlerinin, teknik sömürüyü psikolojik manipülasyonla birleştiren, tespit ve önlemeyi sadece teknolojik çözümlere dayanan kuruluşlar için giderek daha zor hale getiren iyi yönetilmiş sosyal mühendislik kampanyalarına karşı nasıl başarısız olduğunu göstermektedir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
