FBI, CISA, RCMP, ASD’nin ACSC, AFP, CCCS ve NCSC-UK gibi ajanslar tarafından işbirliği içinde yayınlanan Ortak Siber Güvenlik Danışmanlığı AA23-320A, dağınık örümcek siberbriminal grubunda kritik bir güncelleme görevi görür.
Başlangıçta Kasım 2023’te yayınlandı ve birçok kez revize edildi, en son 29 Temmuz 2025’te bu danışma, grubun kritik altyapı, ticari tesisler ve ilgili sektörlerde büyük kuruluşları hedefleyen kalıcı ve uyarlanabilir operasyonlarını vurgulamaktadır.
UNC3944, Scatter Swine, Oktapus, Octo Tempest, Storm-0875 ve Muddled Terazi gibi takma adlar tarafından bilinen dağınık örümcek, veri gasp, fidye yazılımı dağıtım ve sofistike sosyal mühendislik taktikleri konusunda uzmanlaşmıştır.
Dağınık örümcek tehdidi aktörlerine genel bakış
2025 güncellemeleri, parola sıfırlamaları ve MFA transferleri için yardım masallarını manipüle etmek için gelişmiş taklit etme gibi yeni teknikleri vurgulamaktadır.
Bu evrimler, grubun verileri Mega gibi platformlara hızlı bir şekilde sunmasına izin verir[.]NZ veya Amazon S3, Tor, Tox veya şifreli uygulamalar gibi güvenli kanallardan fidye talep etmeden önce, kar tanesi gibi ortamlarda binlerce sorgu çalıştırdıktan sonra.
Danışmanlık, grubun geniş kimlik avı kampanyalarından, sosyal medyadan, açık kaynaklardan ve yasadışı pazarlardan toplanan kişisel verilerle zenginleştirilmiş hedefli, çok katmanlı mızrak ve vishing operasyonlarına geçişini vurgulamaktadır.
Etkinlikleri MITER ATT & CK çerçevesine (sürüm 17) eşleştirerek, TTP’leri sık sık savunmalara değiştirirken normal ağ etkinliğine karışmak için meşru araçlar kullanarak, dağınık örümcek algılamayı nasıl yaşadığını (LOTL) teknikler aracılığıyla nasıl detaylandırıyor.
Temel Taktikler, Teknikler ve Prosedürler (TTPS)
Dağınık Örümcek saldırıları, tehdit aktörlerinin iş web sitelerini, sosyal medyayı ve çalışan PII, rolleri ve kimlik bilgileri için veritabanlarını, genellikle karanlık web pazarlarından satın aldığı keşifle başlayarak yapılandırılmış bir yaşam döngüsünü takip ediyor.
İlk erişim, kimlik avı, smaching, MFA yorgunluğu (kullanıcıları kabul edilene kadar istemlerle bombalamak), SIM swapları veya güvenilir üçüncü taraf ilişkilerinden yararlanma yoluyla kazanılır.
Taklit etme merkezi bir rol oynar ve aktörler, çalışanları OTP’leri paylaşmak, TeamViewer, Anydesk, Ngrok veya Teleport.sh gibi uzaktan erişim araçlarını çalıştırmak için çalışanlar veya SMS ile Personel olarak poz verirken veya yardım sistemlerini kimlik bilgilerini sıfırlamaya yönlendirir.
İçeri girdikten sonra, sahte MFA jetonlarını kaydederek, fleetdeck.io, pulseway veya taktik.rmm gibi uzaktan izleme ve yönetim (RMM) yazılımlarını dağıtarak ve fabrikasyon sosyal medya profilleri tarafından desteklenen yeni kullanıcı kimlikleri oluşturarak kalıcılık oluştururlar.
Ayrıcalık artışı, kimlik doğrulama süreçlerinin değiştirilmesini veya daha fazla sosyal mühendislik için iç iletişim araçlarından yararlanmayı içerir. Keşif ve yanal hareket, SharePoint sitelerini, Active Directory’yi, kod depolarını ve AWS EC2 gibi bulut kaynaklarını hedefler ve e -postalardan, yedeklemelerden ve veritabanlarından veri toplamayı sağlar.
Defiltrasyon, transferden önce merkezi ETL araçlarında sahnelenen yüksek değerli varlıklara odaklanır ve ardından genellikle gasp için şifreleme yapılır.
Raccoon Stealer ve Vidar gibi kötü amaçlı yazılım, tarayıcı verilerini, çerezleri ve giriş bilgilerini çalmaya yardımcı olurken, grup, Slack veya Microsoft ekipleri gibi araçlardaki kurban tepkilerini, kökenlerini gizlemek için proxy’leri kullanarak erişimi uyarlamak ve sürdürmek için izler.
Bu tehditlere karşı koymak için, danışma önerilerini CISA ve NIST’in sektörler arası siber güvenlik performans hedefleri (CPG’ler) ile uyumlu hale getirerek, bombalama ve SIM swaplarını engellemek için kimlik avına dirençli MFA’yı (örn. Fido/Webauthn veya PKI tabanlı) vurgulamaktadır.
Kuruluşlar, yetkisiz uzaktan araçları engellemek için uygulama izin vermeyi, anormal uzaktan erişim için denetim günlüklerini engellemek ve kullanılmayan bağlantı noktalarını kapatarak, kilitlemeleri uygulayarak ve MFA gerektirerek RDP’yi kısıtlamalıdır.
Ağ segmentasyonu yanal hareketi sınırlarken, bilinen güvenlik açıklarının zamanında yamalanması, çevrimdışı şifreli yedeklemeler ve düzenli restorasyon testi etkiyi en aza indirir.
Rapora göre, şifre politikaları NIST standartlarını takip etmelidir: yazılım yüklemeleri için yönetici kimlik bilgileri gerektiğine dair benzersiz, güçlü şifreler (15+ karakter), yeniden kullanım ve ipucu yok.
EDR araçları aracılığıyla geliştirilmiş izleme, riskli girişler veya pesfiltrasyon denemeleri gibi olağandışı aktiviteleri algılar ve çalışanların vishing ve spearphishing konusunda eğitimi çok önemlidir.
Danışmanlık, CISA’nın kararını ve İngiltere kuruluşları için NCSC’nin Mayıs 2025 blogunu benzer olaylarla ilgili olarak atıfta bulunarak ATT & CK tekniklerine karşı güvenlik kontrollerinin doğrulanmasını tavsiye ediyor.
Kullanılmayan bağlantı noktalarını devre dışı bırakma, harici e-posta pankartları ekleme ve değişmez yedekleme kuruluşlarının sürdürülmesi de dahil olmak üzere bu önlemleri benimseyerek, uzlaşma olasılığını önemli ölçüde azaltabilir ve dağınık Spider’ın gasp güdümlü kampanyalarından finansal ve operasyonel serpintiyi azaltabilir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!