New Research’e göre, Salesforce Products aracılığıyla düzenlenen bir siber saldırı dalgasından sorumlu olan Shinyhunters kolektifi, Salesforce Products aracılığıyla düzenlenen bir siber saldırı dalgasından sorumlu.
Bugün yayınlanan bir raporda, Reliaquest araştırmacıları Kimberley Bromley ve Ivan Righi, her ikisi de daha önce COM olarak bilinen daha geniş siber suç ağı ile bağlantılı olan iki operasyon arasında kasıtlı bir ortaklık öneren çok sayıda kanıt olduğunu iddia ediyorlar.
Shinyhunters’ın taktiklerinde, grubu büyük ölçüde kimlik hırsızlığı ve veritabanı sömürüsüne odaklanan önceki modus operandi’nin çok ötesine taşıyan “Hallmark” dağınık örümcek tekniklerini içerecek şekilde dramatik bir değişim tanımladılar.
Bunlar, BT personelini, mevcut kampanyada Salesforce Veri Yükleyicisi’ni birleştirmek için kurbanları, kurbanlarını kimlik bilgilerine girmeye yönlendirmek için işe yaramalarını ve verileri kullanmasını sağlamak için Mevcut Kampanya’da Salesforce Veri Yükleyicisi’ni bağlamaları için destekleyen yüksek hedefli Sesli Kimlik avı veya Vishing kampanyalarının benimsenmesini ve yasal mulvad öngörüsünü kullanma.
Bromley ve Righi, “Bu taktikler dağınık Spider’ın ticari marka yöntemleriyle ve daha geniş kolektif olan COM yöntemleriyle yakından uyumlu, gruplar arasındaki aktif işbirliği hakkında spekülasyonlar,” diye yazdı.
Kanıt toplanır
Reliaquest ekibi, iki grubun aynı kaba zaman çizelgesinde benzer sektörleri – perakende, sigorta ve havacılık – hedeflediğini ve alanlarını kaydederken kullandıkları adlandırma kurallarında benzer bir yaklaşım benimsediğini söyleyerek bir bağlantı hakkında daha fazla kanıt sundu. Bromley ve Righi, Shinyhunters ve dağınık örümcek tarafından tercih edilen adlandırma modeli konvansiyonuna uyan alan adlarının analizlerine dayanarak, finansal hizmetler şirketlerinin artık yüksek alarma sahip olması gerektiği konusunda uyardı.
Son zamanlarda Sp1d3rhunters olarak bilinen Shinyhunters ile ilişkili bireysel bir kişiliğin varlığı hakkında daha fazla kanıt ortaya çıktı. Shinyhunters’ın Ticketmaster’ın ihlaline bağlı olduğu 2024 yılında BreachForums veri sızıntı hizmetine ilk kez giren bu hesap, Shinyhunters’ın ve dağınık örümcek olduğunu iddia etti. var olan Aynı ve dahası her zaman olmuştur.
Araştırmacılar, “Bu bağlantılar meşru ise, Shinyhunters ve dağınık örümcek arasındaki işbirliğinin veya örtüşmesinin bir yıldan fazla sürdüğünü öneriyorlar” dedi.
Daha geniş önem
Parlaklıkları ve dağınık örümceğin birlikte çalıştığını gösteren ipuçlarını inceleyerek aylar geçirmenin mümkün olacağını kabul eden Bromley ve Righi, savunucuların devam eden saldırıların daha geniş önemini görmediklerini – kimin orchese ettiği için başarılı olduklarını, ancak nasıl yürütüldüklerinden dolayı başarılı olduklarını söyledi.
“Tehdit aktörleri sürekli olarak altyapıyı döndürür, isimleri değiştirir ve TTP’lerini tespitten kaçınmak ve etkiyi en üst düzeye çıkarmak için uyarlar” dediler.
“Sonuç olarak, davranışsal kalıpları izlemek ve bu kampanyaların arkasındaki TTP’leri geliştirmek, yalnızca uzlaşma (IOC) veya ilişkilendirme göstergelerine odaklanmaktan çok daha değerlidir.
“Güvenlik liderleri için, bu sıvı ve kalıcı tehdit manzarasını anlamak, gelecekteki saldırıları öngörmek ve güvenlik stratejisi ve kaynak tahsisi hakkında bilinçli kararlar vermek için kritik öneme sahiptir.”
Siber saldırı kampanyalarının, iki grubun birlikte çalışıp çalışmadığına veya bir ve aynı olup olmadığına bakılmaksızın devam edeceği konusunda uyardılar, başkalarının da benzer taktikleri benimseyerek yüksek profilli saldırıların başarısını taklit etmeye çalışabileceğini de sözlerine ekledi.
“Bu son kampanyalar, sosyal mühendislik konusunda yüksek yetenekli İngilizce konuşan tehdit aktörlerinin etkinliğini sergiliyor” dedi.