Dolandırıcılık Yönetimi ve Siber Suç, Sosyal Mühendislik
Grup Yardım masasını kandırmak ve ilk erişim elde etmek için CFO’da istihbarat topladı
Mathew J. Schwartz (Euroinfosec) •
27 Haziran 2025
Dağınık Örümcek ile ilişkili bilgisayar korsanları, ilk erişim elde etmek için sosyal mühendislik tekniklerinde karar ve zeka sergileyen bir hack yırtığı üzerinde duruyorlar, araştırmacılar anadili İngilizce konuşan, ergen egemen siber suç kolektifini uyarıyorlar.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Ayrıca Octo-Tempest ve UNC3944 olarak izlenen grup, veri çalmak, dosyaları şifrelemek ve şirket fidye tutmak için bir kurbanın ağına ilk erişim elde etmek için sosyal mühendislik becerilerini kullanır.
Kurumsal yardım masalarını kandırmak, grubu Las Vegas Giant Caesars Entertainment da dahil olmak üzere kurbanlardan 15 milyon dolarlık ücretli gasp parasına dönüştüren bir uzmanlık alanıdır.
Geçen ay lojistik sektöründeki bir organizasyona karşı yapılan bir saldırıda, saldırganlar, bir kurbanın BT ortamını ihlal ederken, savunmalardan kaçınma, ayrıcalıkları artırma ve bunları çıkarma girişimlerine rağmen erişimi sürdürme yeteneği de dahil olmak üzere kalıcılık, teknik sofistike ve azim sergiledi.
Bir paket servisi, en erken aşamalardan gösterilen yeterlilik saldırganlarıdır. C-Suite üyelerine odaklandılar ve halka açık zekayı C seviyesi yöneticilerinin kimlik bilgilerine kat ettiler. Saldırganlar, CFO’nun doğum tarihini ve CFO’nun Sosyal Güvenlik numarasının son dört basamağını topladılar, bu da saldırganların yöneticinin çalışan numarasını onaylamak için şirketin kamuya açık Oracle Cloud portalını kullanmasını sağladı.
Reliaquest’in tehdit araştırma ekibi, “Saldırının bir sonraki aşamasında, Dağınık Örümcek Sosyal Mühendislik uzmanlığını, CFO’yu BT Yardım Masasına ikna edici bir çağrıda taklit ederek gösterdi.” Dedi. Diyerek şöyle devam etti: “Makul bir senaryo sunarak ve yürütme düzeyinde taleplere verilen doğal güveni kullanarak, saldırganlar yardım-desk personelini MFA cihazını ve CFO’nun hesabına bağlı kimlik bilgilerini sıfırlamaya ikna etti.”
Dağınık Spider üyelerinin çoğu, ABD veya İngiltere’de yaşayan anadili İngilizce konuşan gençler veya genç yetişkinler gibi görünüyor.
Lojistik firmasına başarılı bir şekilde ağ erişimi kazandıktan sonra, saldırgan – veya saldırganlar – kuruluşun Microsoft Entra ID bulut tabanlı kimlik ve erişim yönetim sistemi aracılığıyla kimlikleri numaralandırmak da dahil olmak üzere teknik pirzolalarını gösterdi. Ayrıca attılar NTDS.DIT Active Directory’ye güç veren ve şirketin Cyberark kasasına baskın düzenleyen ve 1.400 hesaba bağlı sırları çalan çekirdek veritabanı.
Saldırının bir zaman çizelgesi, dağınık örümcek saldırısının nasıl ortaya çıktığını gösteriyor. Bazı önemli çıkarımlar şunları içerir:
- 1. Gün: Saldırganların çalıntı CFO kimlik bilgilerini kullanarak Oracle Portal’a doğrulama girişimleri çok faktörlü kimlik doğrulaması sayesinde başarısız olur.
- 2. Gün: Saldırgan sosyal olarak yardım masasını mühendislik eder, CFO’nun hesaplarına erişim kazanır ve daha sonra BT kullanıcılarını hesaplar. VMware Horizon sanal masaüstü altyapı örneklerine ve şirketin Cyberark kasasına erişirler ve tehlikeye atılan bir hesaba değişim yöneticisi rolü atarlar. Ayrıca, CISO ve diğer üst düzey çalışanlar tarafından kullanılan posta kutularına ve daha sonra hizmet olarak veri ambarı sağlayıcısı kar tanesi ile şirketin hesabına tek oturum açma kimlik doğrulaması yoluyla erişirler.
- 3. Gün: Güvenlik ekibi saldırıya yanıt vermeye başlar ve saldırganın birden fazla güvenlik ekibi hesaplarını devre dışı bırakmasına yol açar.
- 4. Gün: Tehdit oyuncusunu kaldırma çabaları – sadece erişimi geri kazanmaları için – devam ederek, Azure güvenlik duvarı politikalarını silme, iş operasyonlarını bozan tehdit aktörü de dahil olmak üzere yol boyunca bazı teminat hasarlarına neden olur. Kurbanın ağını ilk ihlal ettikten yaklaşık 62 saat sonra, tehdit oyuncusu nihayet tamamen çıkarıldı.
Savunucular tehdit oyuncusunu çıkardıktan sonra, geçerli şifreleri kullanarak erişimi yeniden kazanma girişimlerini tespit ettiler. Saldırganlar, çaldıkları Pam tonozlarından nispeten zayıf – veya yeniden kullanılan – bazı parolalar için başarılı bir şekilde kırmıştı. Oturum açma denemeleri, çok faktörlü kimlik doğrulama isteklerini tetikleyerek başarısız olur.
En büyük çıkarımlardan biri, birçok kuruluşun dağınık örümcek üyelerinin tekrar tekrar mükemmel olduğu sosyal mühendislik türüne karşı oldukça savunmasız olmasıdır.
Reliaquest, “Bu saldırı, insan iş akışlarını teknik savunmaların yanı sıra güvence altına almak için kritik ihtiyacın altını çiziyor, çünkü bu saldırıdan her iki alandaki gelişmiş tehditlerin boşluklarından yararlanıyor.” Dedi.
Güvenlik uzmanları, iddia edilen üyelerin devam eden tutuklamalarına rağmen, dağınık örümcek izlemenin devam etmesini bekliyor (bkz:: Şüpheli dağınık örümcek kafası İspanya’dan iade edildi).
Bu yılın başlarında sessiz kaldıktan sonra, son aylarda grup üyelerine izlenen saldırılar, Marks & Spencer ve Co-op grubu gibi İngiliz perakendecilere isabetlerle. Daha yakın zamanlarda, grubun diğer kurbanları, araştırmacıların bize sigorta şirketlerini hedefleyen yeni bir kampanya olduğunu söylediklerinin bir parçası olarak, Amerika’nın en büyük ek sağlık sigortası sağlayıcısı AFLAC’ı içeriyor.
Yakın tarihli bir raporda, siber güvenlik firması Halcyon, grubun fidye yazılımı operasyon ilişkilerinin büyük bir ahırından yararlandığını söyledi. Bir organizasyona sızdıktan sonra, çoğu zaman “birkaç saat içinde, saldırganlar Dragonforce, Qilin, Akira veya Fidye Yazılımları oynamadan önce hassas verileri söndürüyor” dedi.