Kötü şöhretli Scattered Lapsus$ Hunters tehdit grubu, Gainsight ve Salesloft dahil Salesforce üçüncü taraf entegrasyonlarını hedef alan yüksek profilli tedarik zinciri saldırısının ardından bir süre sessizliğin ardından aktif operasyonlara geri döndü.
Yeraltı Telegram kanallarında ve kimlik bilgisi ticareti forumlarında gözlemlenen son faaliyetler, kolektifin operasyonel yapısını yeniden inşa ettiğini ve içerdekileri ve ilk erişim aracılarını hedef alan agresif bir işe alım kampanyası başlattığını gösteriyor.
Grup şu anda ShinyHunters, Scattered Spider ve Lapsus$ ile bağlantılı operatörleri içeren ortak bir çaba olarak tanımlanan ShinySp1d3r adında yeni bir Hizmet Olarak Fidye Yazılımı platformunu tanıtıyor.
Yeniden diriliş, grubun operasyonel stratejisinde önemli bir değişime işaret ediyor. Esas olarak sosyal mühendislik taktiklerine dayanan önceki kampanyalardan farklı olarak, kolektif artık içeriden işbirliği ve komisyona dayalı anlaşmalar yoluyla ayrıcalıklı erişim elde etmeye odaklanan daha yapılandırılmış bir yaklaşım izliyor.
İşe alım reklamlarında net hedefleme kriterleri belirtiliyor: Rusya, Çin, Kuzey Kore, Belarus ve sağlık sektöründeki kuruluşlar hariç, yıllık geliri 500 milyon doları aşan kuruluşlar.
Grup, Active Directory’ye katılan sistemler için yüzde 25 ve Okta, Azure Portal ve AWS IAM kök erişimi gibi bulut kimlik platformları için yüzde 10 sunan katmanlı komisyon yapıları oluşturdu.
CYFIRMA analistleri, grubun aktif olarak işe alım mesajları yayınladığı ve ilk erişim satın alımları için pazarlık yaptığı kapalı Telegram kümelerini ve erişim aracısı ekosistemlerini izleyerek yeniden dirilişi tespit etti.
Kolektif özellikle telekomünikasyon sağlayıcılarından, yazılım ve oyun şirketlerinden ve çağrı merkezi ortamlarından VPN, VDI, Citrix veya AnyDesk erişimi sağlayabilecek içeriden kişiler arıyor.
.webp)
Sohbet odasındaki tartışmalarda sıklıkla LizardSquad ismine atıfta bulunuluyor, ancak bu sözler doğrulanmış bir ortaklığın kanıtı olmaktan ziyade itibar oluşturma stratejisinin parçası gibi görünüyor.
Grup, CrowdStrike dahili kontrol panelinin ve içeriden bir kaynak tarafından sağlandığı iddia edilen Okta çoklu oturum açma sayfasının sızdırılmış ekran görüntülerini paylaşarak güvenilirliğini gösterdi.
İçeriden Personel Alımı ve Operasyonel Güvenlik Mesajlaşması
Tehdit aktörleri, tespitle ilgili içeriden gelebilecek olası endişeleri gidermek için karmaşık bir yaklaşım benimsemiştir.
Yakın zamanda yaşanan CrowdStrike içeriden öğrenenlerin olayının ardından grup, operasyonlarındaki muhbirlerin tespit edilmeyeceği iddiasıyla potansiyel işbirlikçilerine kamuoyuna güvence verdi.
.webp)
CrowdStrike davasını, içeriden başarısız bir girişimin sonucu olarak kendi kendilerine yapılan bir ifşa olarak çerçevelediler ve bu anlatıyı potansiyel askerler arasında güven oluşturmak için kullandılar.
Bu mesajlaşma stratejisi, grubun içeridekilerin kötü niyetli faaliyetlerde bulunmasını engelleyen psikolojik engelleri anladığını ve bu endişelerin üstesinden gelmek için aktif olarak çalıştığını gösteriyor.
ShinySp1d3r’nin gelişimi ayrıca, topluluğun kendisini 2026 boyunca sürdürülebilir operasyonlar için konumlandırdığını ve hedeflenen kuruluşlardan ek müşteri verilerinin tehlikeye atılmasına ve sızdırılmasına yönelik kamu tehditlerine işaret ediyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
