“Dağınık Örümcek” taktikleri ile ilişkili bilgisayar korsanları, daha önce sigorta ve perakende sektörlerine saldırdıktan sonra havacılık ve ulaşım endüstrilerine hedeflemelerini genişletti
Bu tehdit aktörleri, başlangıçta Birleşik Krallık ve Amerika Birleşik Devletleri’nde M&S ve kooperatif gibi perakende şirketlerini hedefleyen ve daha sonra odaklarını sigorta şirketlerine kaydıran sektöre göre bir yaklaşım kullanmıştır.
Tehdit aktörleri ilk başta sigorta sektörü saldırılarından sorumlu olarak adlandırılmamış olsa da, son olaylar AFLAC, Erie Insurance ve Philadelphia sigorta şirketlerini etkiledi.
Bilgisayar korsanları havacılık endüstrisini hedefleyin
12 Haziran’da Kanada’nın ikinci büyük havayolu Westjet, şirketin dahili hizmetlerini ve mobil uygulamasını kısaca bozan bir siber saldırıya maruz kaldı.
İhlalden kısa bir süre sonra kaynaklar BleepingComputer’a Palo Alto Networks ve Microsoft’un saldırıya yanıt vermede yardımcı olduklarını söyledi.
Saldırı, şirketin veri merkezlerinden ve Microsoft Cloud ortamından ödün verdiği iddia edilen dağınık örümcekle ilişkilendirildi.
BleepingComputer, tehdit oyuncusu, bir çalışan için bir self servis şifre sıfırlaması gerçekleştirerek erişim kazandığı ve kendi MFA’larını kaydettirmelerini ve Citrix aracılığıyla ağa uzaktan erişim elde etmelerini sağladığı konusunda bilgilendirildi.
Diğer tehdit aktörleri kimlik saldırıları yaparken, dağınık örümcek, yardım masalarının ve şifre ve MFA altyapısının düzenli olarak hedeflenmeleri nedeniyle bu taktikle ilişkilendirilmiştir.
Bugün, Hawaiian Havayolları da bir siber saldırıya maruz kaldıklarını ancak saldırının arkasında kimin olduğunu gösterebilecek herhangi bir ayrıntı vermediklerini açıkladı. Bununla birlikte, bir kaynak BleepingComputer’a aynı tehdit aktörlerinin sorumlu olduğuna inanıldığını söyledi.
Danışmanlık ve Tehdit İstihbaratı SVP’si Palo Alto Networks’ten Sam Rubin, LinkedIn’de dağınık örümcek havacılık endüstrisini hedeflemeye başladığını doğruladı.
Rubin, “Ünite 42, havacılık endüstrisini hedefleyen çamurlu Terazi (dağınık örümcek olarak da bilinir) gözlemledi.”
Diyerek şöyle devam etti: “Kuruluşlar sofistike ve hedefli sosyal mühendislik saldırıları ve şüpheli MFA sıfırlama talepleri için yüksek tetikte olmalıdır.”
Mantiant’ın Charles Carmakal, tehdit aktörlerinin odaklarını hem havacılık hem de ulaşım sektörlerine geçirdiği konusunda uyardı.
Carmakal, “Uyarı: Dağınık Örümcek Kuzey Amerika havayolu ve ulaşım organizasyonlarını hedef listelerine ekledi.”
“Mandiant (Google Cloud’un bir parçası), UNC3944 veya dağınık örümcek operasyonlarına benzeyen havayolu ve ulaşım sektöründe çoklu olayların farkındadır.
“Endüstrinin, çalışan/yüklenici hesaplarına yeni telefon numaraları eklemeden önce (tehdit oyuncusu tarafından kendi self-servis şifresi sıfırlamaları gerçekleştirmek için kullanılabilecek), MFA çözümlerine cihaz eklemek için kullanılabilecek veya daha sonraki sosyal mühendis saldırıları için kullanılabilecek çalışan bilgileri (örneğin çalışan kimlikleri) sağlayarak yardım masası kimlik doğrulama süreçlerini sıkmak için hemen adımlar atmasını öneririz.
Dağınık örümcek nedir
0ktapus, Starfraud, UNC3944, dağınık domuz, Octo Tempest ve Muddlu Terazi olarak da bilinen dağınık örümcek, sosyal mühendislik saldırıları, kimlik avı, çok faktörlü kimlik doğrulama (MFA) kullanma konusunda usta olan tehdit aktörlerinin bir sınıflandırmasıdır ve büyük organizasyonlara (hedeflenmiş MFA’nda ilk ağ erişiminde kazanma.
Bu tehdit aktörleri, aynı hacker forumlarını, telgraf kanallarını ve anlaşmazlık sunucularını sık sık sıklayan çeşitli beceri setlerine sahip İngilizce konuşan gençleri içerir. Bu ortamlar daha sonra gerçek zamanlı olarak saldırıları planlamak ve yürütmek için kullanılır.
Bazılarının “com” un bir parçası olduğuna inanılıyor – finansal sahtekarlık, kripto para birimi hırsızlığı, veri ihlalleri ve gasp saldırıları ile bilinen gevşek örgülü bir tehdit aktörleri topluluğu.
Dağınık örümcek yaygın olarak uyumlu bir çete olarak adlandırılırken, aslında saldırılar yaparken belirli taktikleri kullanan tehdit aktörlerini belirtmek için kullanılır. Dağınık örümcek taktikleri ile ilişkili saldırılar, gevşek bir tehdit aktörleri ağından farklı bireyler tarafından yaygın olarak kullanıldığından, onları izlemeyi zorlaştırır.
İngilizce konuşulan diğer birçok tehdit aktörünün aksine, “dağınık örümcek” ile ilişkili olanların Rusça konuşan fidye yazılım çeteleriyle Blackcat, Ransomhub, Qilin ve Dragonforce gibi ortak olduğu bilinmektedir.
Dağınık Örümcek ile bağlantılı diğer saldırılar arasında MGM, Marks & Spencer, Co-op, Twilio, Coinbase, Doordash, Caesars, MailChimp, Riot Games ve Reddit’dir.
Bu tür bir tehdit oyuncusuna karşı savunan kuruluşlar, tüm altyapı, kimlik sistemleri ve kritik yönetim hizmetleri arasında tam görünürlük elde etmekle başlamalıdır.
Bu, self servis şifre sıfırlama platformlarını ve yardım masalarını, bu tehdit aktörlerinin ortak hedeflerini güvence altına almayı içerir.
Hem Google Tehdit İstihbarat Grubu (GTIG) hem de Palo Alto Networks, bu tehdit aktörleri tarafından kullanılan bilinen “dağınık örümcek” taktiklerine karşı sert savunmalara ilişkin kılavuzlar yayınladı.
Tüm yöneticilerin kendilerini bu ipuçlarına aşina olmaları ve kimlik platformlarını ve süreçlerini sertleştirmeleri tavsiye edilir.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.