Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), UNC3944, Oktapus ve Storm-0875 olarak da bilinen dağınık örümcek siber suçlu grubu tarafından kullanılan sofistike taktikleri detaylandıran güncellenmiş bir ortak siber güvenlik danışmanlığı yayınladı.
Bu tehdit oyuncusu, şimdi büyük şirketleri ve sözleşmeli bilgi teknolojilerini hedefleyen ilk kimliğinden bu yana önemli ölçüde gelişti.
Dağınık örümcek, ticari tesisler ve kritik altyapı sektörlerinde yüksek değerli hedefleri ihlal etmek için geleneksel sosyal mühendisliği ileri teknik yeteneklerle birleştirerek siber suçlarda özellikle tehlikeli bir evrimi temsil eder.
Grubun operasyonları, mağdurlar üzerindeki finansal etkiyi en üst düzeye çıkarmak için hem çalınan bilgileri hem de fidye yazılımı şifrelemesinden yararlanan kapsamlı veri gasp şemalarını kapsayan basit veri hırsızlığının ötesine uzanır.
CISA analistleri, dağınık örümceklerin yakın zamanda Arsenalini, Grubun tehdit profilinde önemli bir artış göstererek geleneksel veri pessfiltrasyon tekniklerinin yanı sıra Dragonforce fidye yazılımlarını da içerecek şekilde genişlettiğini belirledi.
Tehdit aktörleri, tehlike altına alınan ağlara kalıcı erişimi sürdürürken tespitten kaçınmak için taktiklerini, tekniklerini ve prosedürlerini sık sık değiştirerek dikkate değer bir uyarlanabilirlik gösterir.
Grubun ilk erişim metodolojisi büyük ölçüde hem çalışanı hem de BT destek personelini hedefleyen çok katmanlı sosyal mühendislik kampanyalarına dayanmaktadır.
Geniş kimlik avı kampanyaları dağıtmak yerine, dağınık örümcek, kuruluşlar içindeki yüksek değerli hedefleri belirlemek için işletmeler arası web siteleri, sosyal medya platformları ve açık kaynaklı istihbarat toplantısı kullanarak kapsamlı keşifler düzenler.
Gelişmiş Sosyal Mühendislik ve Kalıcılık Mekanizmaları
Dağınık Örümcek’in en belirgin özelliği, CISA araştırmacılarının geleneksel abone kimlik modülü (SIM) takas tekniklerinin yanı sıra “bombalama” saldırıları olarak adlandırdıkları şeyi içerecek şekilde geliştiğini belirttiği sofistike sosyal mühendislik yaklaşımında yatıyor.
Tehdit aktörleri, ikna edici kimliğe bürünme senaryoları oluşturmak için ticari zeka araçları ve veritabanı sızıntıları da dahil olmak üzere çeşitli kaynaklardan kişisel olarak tanımlanabilir bilgileri titizlikle toplar.
Grubun kalıcılık stratejisi, kullanıcı hesaplarından başarılı bir şekilde tehlikeye attıktan sonra kendi çok faktörlü kimlik doğrulama jetonlarının kaydedilmesini ve şifre sıfırlamalarından sağlanan arka kapı erişimini etkili bir şekilde oluşturmayı içerir.
Bu teknik, normal BT işlemleriyle sorunsuz bir şekilde karışan TeamViewer, ScreAnconnect ve Teamvort.sh ve Anydesk gibi yeni tanımlanmış araçların meşru uzaktan izleme ve yönetim araçlarının dağıtılması ile tamamlanmaktadır.
Teknik cephaneliği hem kötü amaçlı faaliyetler hem de özel kötü amaçlı yazılım varyantları için yeniden tasarlanan meşru aracı içerir.
| Taktik | Teknik Başlık | Teknik Kimliği | Kullanmak |
|---|---|---|---|
| Keşif | Kurban kimlik bilgilerini toplayın | T1589 | Kullanıcı adlarını, şifreleri, hedefleri toplayın |
| Bilgi için kimlik avı | T1598 | Kimlik bilgileri ve ağ erişimi kazanmak için kimlik avı | |
| Teknik Veriler Satın Alın | T1597.002 | Yasadışı pazar yerlerinden kimlik bilgileri satın alın | |
| Kurbanın sahip olduğu web sitelerini arayın | T1594 | Çalışan Bilgileri Toplayın (Roller, Kişiler) | |
| Mürettebat sesi | T1598.004 | Hassas bilgileri ortaya çıkarmak için çağrılar | |
| Sosyal Medya Keşif | T1593.001 | Personel hakkında sosyal platformlardan bilgi toplayın | |
| Kaynak geliştirme | Altyapı Alın: Alanlar | T1583.001 | Kimlik avı/smaçlama alanları oluşturun |
| Sosyal Medya Hesapları Oluşturun | T1585.001 | Sahte kimlikleri desteklemek için sahte profiller | |
| İlk Erişim | Kimlik avı (e -posta) | T1566 | Sıçanları kurmak için geniş kimlik avı |
| Koklayan | T1660 | Kötü amaçlı yazılım sunmak için SMS tabanlı kimlik avı | |
| Mürettebat sesi | T1566.004 | Kimlik bilgilerini sıfırlamak için sesli çağrılar/MFA | |
| Güvenilir ilişki | T1199 | Sözleşmeli BT hizmet ilişkileri istismar | |
| Geçerli Hesaplar: Etki Alanı Hesapları | T1078.002 | Erişim için geçerli hesapları kullanın | |
| Uygulamak | Sunucusuz yürütme | T1648 | Bulut veri toplama için ETL araçlarını kullanın |
| Kullanıcı yürütme | T1204 | Kullanıcıları uzaktan araçları çalıştırmaya çalıştırın | |
| Kalıcılık | Kalıcılık (Genel) | TA0003 | Uzun vadeli erişimi korumak |
| Hesap oluşturmak | T1136 | Org’a yeni kullanıcı kimlikleri ekleyin | |
| Kimlik Doğrulamayı Değiştir – MFA | T15566.006 | Erişimi korumak için MFA’yı değiştirin | |
| Geçerli Hesaplar | T1078 | Kalıcılık için geçerli kimlik bilgilerini kötüye kullanın | |
| Ayrıcalık artışı | Ayrıcalık yükseltme (genel) | TA0004 | Ağdaki ayrıcalıkları artırın |
| Domain Trust’ı Değiştir | T1484.002 | Otomatik bağlantı ile federasyonlu kimlik sağlayıcısı ekleyin | |
| Savunma | Bulut Örneği Oluştur | T1578.002 | Tespitten kaçınmak için yeni EC2 örneklerini dağıtın |
| Taklit etme | T1656 | Bilgi için taklit et/yardım masası | |
| Kimlik Bilgisi Erişim | Kimlik Bilgisi Erişim (Genel) | TA0006 | Raccoon Stealer gibi araçlar kullanın |
| Web kimlik bilgilerini dövmek | T1606 | Erişim için MFA jetonları dövmek | |
| MFA Bildirim Sel | T1621 | Tekrarlanan İstemleri Gönderin (MFA Yorgunluk) | |
| Dosyalardaki kimlik bilgileri | T1552.001 | Saklanan kimlik bilgilerini arayın | |
| Özel Anahtarlar | T1552.004 | Sistemlerden özel anahtarlar çalın | |
| Sim Swap | T1451 | Sim Jacking aracılığıyla MFA’nın kontrolünü kazanın | |
| Keşif | Keşif (Genel) | TA0007 | SharePoint, Yedeklemeler, reklam arama |
| Tarayıcı Bilgisi Keşfi | T1217 | Tarayıcı geçmişini almak için Stealer kötü amaçlı yazılımları kullanın | |
| Bulut Gösterge Tablosu Keşfi | T1538 | AWS Systems Manager envanterini kullanın | |
| Dosya/dizin keşfi | T1083 | Değerli bilgiler için dosyaları/dizinleri arama | |
| Uzak Sistem Keşfi | T1018 | Ağdaki uzak sistemleri tanımlayın | |
| Web Oturum Çerezlerini Çalın | T1539 | Oturum çerezlerini almak için araçları kullanın | |
| Yanal hareket | Yanal hareket (genel) | T0008 | Erişimden Sonra Ağ boyunca hareket edin |
| Uzaktan Hizmetler: Bulut | T1021.007 | Yanal hareket için mevcut bulut hizmetlerini kullanın | |
| Toplama | Kod depolarından alınan veriler | T1213.003 | Repolardan veri/kod toplayın |
| SharePoint Koleksiyonu | T1213.002 | SharePoint’ten dahili belgeler toplayın | |
| Veriler sahnelendi | T1074 | Verileri pesfiltrasyondan önce merkezileştirin | |
| E -posta koleksiyonu | T1114 | Algılama işaretleri için e -postaları arayın | |
| Bulut Depolama Verileri | T1530 | Hassas veriler için bulut depolama alanında arama | |
| Komut ve Kontrol | Uzaktan Erişim Yazılımı | T1219 | Erişim/kontrol için RMM araçlarını kullanın |
| Vekil | T1090 | Etkinliği maskelemek için proxy ağlarını kullanın | |
| Püskürtme | Sunum (Genel) | TA0010 | Gasp için veriler çal |
| Web hizmeti üzerinden pesfiltrasyon | T1567 | Yüksek hacimli pesfiltrasyon için kar tanesi kullanın | |
| Darbe | Etki için şifrelenmiş veriler | T1486 | Kurban verilerini şifreleyin, fidye talep et |
| Bulut depolamasına pessiltrasyon | T1567.002 | Mega’ya pes et[.]NZ ve ABD Bulutu | |
| Finansal hırsızlık | T1657 | Gasp, hırsızlık yoluyla erişimi para kazanın |
Son araştırmalar, rakip, gizli erişim ve iç keşif için tasarlanmış Java tabanlı bir uzaktan erişim Truva atı olan Rattyrat’ın ve Raccoon Stealer ve Vidar Stealer gibi yerleşik bilgi stealer’larının kullanımını ortaya çıkardı.
Tehdit aktörleri, tehlikeye atılan Slack, Microsoft ekipleri ve çevrimiçi hesap alışverişi yoluyla hedeflenen kuruluşların iç iletişimlerini aktif olarak izleyerek olağanüstü operasyonel güvenlik bilinci gösterir.
Bu gözetim özelliği, olay müdahale çağrılarına katılmalarına ve taktiklerini savunma önlemlerine yanıt olarak proaktif olarak uyarlamalarına olanak tanır, bu da geleneksel tehdit avcılık yaklaşımlarını önemli ölçüde daha az etkili hale getirir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin