Sofistike bir siber saldırı dalgası, İngiltere ve ABD’deki büyük kuruluşlar arasında süpürüldü, sektörler misafirperverlik ve telekomünikasyonlardan finans ve perakende düşen kurbanı dağınık örümcek olarak bilinen bir tehdit aktörüne kadar uzanıyor.
Öncelikle teknik istismarlara dayanan geleneksel fidye yazılımı gruplarının aksine, dağınık örümcek, agresif sosyal mühendislik taktikleri için, özellikle kurnaz psikolojik manipülasyonla BT destek ekiplerini hedefleyen kötü şöhret kazanmıştır.
En az 2022’den beri aktif olan Scoled Spider, gruba şifreleme özellikleri ve veri sızıntı platformları sağlayan bir Hizmet Olarak Fidye Yazılımı (RAAS) operasyonu olan Dragonforce ile tehlikeli bir ortaklık kurdu.
.png
)
Bu işbirliği dağınık örümceğin en iyi yaptıklarına odaklanmasını sağlar: fidye yazılımı dağıtımının teknik yönlerini dış kaynak kullanırken insanları ağ erişimi kazanmak için manipüle etmek.
Sosintelligence araştırmacıları bu tehdit oyuncusunun ayırt edici bir özelliğini belirlediler: Batı ülkeleriyle güçlü bağları olan anadili İngilizce konuşanlar gibi görünüyorlar.
Bu kültürel akıcılık, kurumsal yardım masalarını ve destek personelini hedeflerken telefon tabanlı saldırıları ve taklit programlarını endişe verici bir şekilde etkili hale getirir.
Dağınık örümceğe atfedilen en yüksek profilli olaylardan biri, ABD’deki casinolar ve oteller arasında büyük ölçekli BT bozulmasına neden olan MGM Resorts’a yapılan 2023 saldırısı oldu.
Araştırmacılara göre, bu yıkıcı ihlal, destek personelini kimlik bilgilerini sıfırlamaya ikna eden oldukça basit bir telefon tabanlı sosyal mühendislik manevtanından kaynaklandı.
Grubun motivasyonu, veri hırsızlığı ve fidye yazılımı dağıtımına odaklanarak öncelikle finansal görünmektedir.
Bununla birlikte, metodik yaklaşımları, ulus-devlet aktörlerini tipik siber suçlulardan daha fazla andırıyor ve fırsatçı saldırılar ve gelişmiş kalıcı tehditler arasındaki çizgileri bulanıklaştırıyor.
Vishing: dağınık örümcek cephaneliğindeki merkezi silah
Dağınık Örümcek Sosyal Mühendislik Metodolojisi, BT destek ekiplerini hedefleyen Vishing (sesli kimlik avı) saldırılarına odaklanıyor.
Operatörleri akıcı, aksansız İngilizce konuşuyor ve hesaplarından kilitli çalışanlar veya olaylara yanıt veren BT personeli gibi davranırken olağanüstü taklit becerileri gösteriyor.
Tipik bir saldırı, keşif, çalışan isimleri ve LinkedIn, basın bültenleri ve sosyal medyadan organizasyonel ayrıntılar toplayarak başlar.
Bu bilgilerle donanmış olan saldırganlar, yardım masalarını çağırıyor ve personelin normal doğrulama prosedürlerini atlamaya destek veren acil senaryolar oluşturuyor.
Kimlik doğrulama sistemlerini hedeflerken, dağınık örümcek “MFA yorgunluğu” gibi teknikler kullanır – hayal kırıklığına uğramış kullanıcılar isteği onaylayana kadar kimlik doğrulama istemlerini tekrar tekrar tetikler.
Ayrıca, şifre sıfırlamaları sırasında gönderilen SMS doğrulama kodlarını kesmek için SIM-Swaying saldırıları yaparlar.
İlk erişim kazandıktan sonra, grup OKTA, Active Directory veya Azure AD gibi kimlik altyapısını tehlikeye atmak için hızla hareket eder.
Kimlik bilgisi hasat için Mimikatz gibi araçlardan yararlanırlar ve yanal hareket için meşru Windows yönetim araçlarını (PowerShell, Psexec) kullanırlar, bu da faaliyetlerini normal BT operasyonlarından ayırt edilmeyi zorlaştırır.
Siber güvenlik uzmanları, yardım masası doğrulama protokollerini güçlendirmeyi, kimlik avına dirençli MFA çözümlerinin uygulanmasını ve düzenli sosyal mühendislik farkındalık eğitimi almayı önerir.
Sosintelligence’in analizlerinde belirttiği gibi, “Güvenlik sadece bir teknoloji sorunu değil – bu bir insanlar ve süreç sorunu”.
Herhangi biriyle erken tehdit tespiti, yükseltme ve hafifletme güçlendirin. 50 deneme araması alın.