UNC3944 veya Octo Tempest olarak da bilinen kötü şöhretli hack kolektif dağınık örümcek, özellikle teknoloji, finans ve perakende sektörlerine odaklanarak yüksek değerli endüstriler için zorlu bir tehdit olarak ortaya çıktı.
Son araştırmalar, grubun kayıtlı alanlarının% 81’inin, sistem yöneticileri ve yöneticiler gibi yüksek değerli hedeflerden kimlik bilgilerini toplamayı amaçlayan teknoloji satıcılarını taklit ettiğini ortaya koymaktadır.
Kimlik Hırsızlığı için Güven ve Teknolojiyi İstismar
Dağınık Örümcek, çok faktörlü kimlik doğrulamasını (MFA) atlarken kimlik bilgilerini ve oturum çerezlerini gerçek zamanlı olarak yakalamak için meşru giriş sayfalarını taklit eden EvilGinx gibi gelişmiş kimlik avı çerçevelerinden yararlanarak kritik sistemlere sızma yeteneğini geliştirmiştir.
Voice kimlik avı (Vishing) dahil olmak üzere sofistike sosyal mühendislik taktikleri ile birleştiğinde, grup insan güvenini yıkıcı etkiye yönlendirir, genellikle çalışanları veya yardım-desk personelini erişim sağlama veya kimlik bilgilerini sıfırlama konusunda manipüle etmek için liderliği taklit eder.
Dağınık Spider’ın oyun kitabı, yönetilen hizmet sağlayıcılarını (MSP’ler) ve BT yüklenicilerini “teke çok” erişim modellerinden yararlanarak stratejik olarak hedefleyen doğrudan saldırıların ötesine geçer ve tek bir uzlaşma noktasından birden fazla müşteri ağındaki ihlalleri sağlar.
Bu taktik, Mayıs 2025’te Marks & Spencer, Co-op ve Harrods gibi İngiltere perakendecileri üzerindeki siber saldırı dalgasında ve araştırmacıların, Örümcek’in ihlallerin koordineli doğası nedeniyle Spider’ın katılımından şüphelendiği benzer olayların da açıktı.
MSP’lere stratejik odaklanma
Raporlar, grubun, üçüncü taraf satıcılarının daha geniş ağlara nasıl geçiş olarak hizmet ettiğini vurgulayarak ilk erişim elde etmek için Global BT yüklenicisi Tata Danışmanlık Hizmetleri’nden (TCS) tehlikeye atılmış hesaplardan yararlandığını gösteriyor.
Buna ek olarak, grubun hedeflerinin% 70’i teknoloji, finans ve perakende sektörlerine aittir ve özellikle teknoloji organizasyonlarına yönelik EvilGinx kimlik avı alanlarının% 60’ı.
Bu odak, dağınık örümceklerin kritik altyapıyı ve hassas verileri yöneten varlıkları tehlikeye atarak etkiyi en üst düzeye çıkarma niyetinin altını çizerek, genellikle ALPHV, Ransomhub ve Dragonforce gibi operatörlerle işbirliği içinde fidye yazılımı dağıtımına yol açar.
Grubun altyapı eğilimleri, tirelenmiş alanlardan SSO, VPN ve Help-Mass platformları gibi güvenilir hizmetleri taklit eden alt alan tabanlı anahtar kelimelere geçerek taktiklerde hesaplanmış bir kayma ortaya çıkarır.
Çeyrek 2022 ve Q1 2025 arasındaki dağınık örümcekle bağlantılı 600’den fazla alanın analizi, barındırma sağlayıcılarında ve kayıt memurlarında sık sık değişiklikler, proaktif izlemeyi gerekli kılmaktadır.
Teknik istismarların ötesinde, dağınık örümceklerin sosyal mühendisliğe olan güvenmesi, batı çalışma saatlerinde ikna edici taklit saldırıları yürütmek için akıcı İngiliz konuşmacılar toplayan Rus uyumlu aktörlerle ortaklıklarla güçlendiriliyor.
Bu işbirlikleri, Deepfake AI ses teknolojisinin potansiyel olarak benimsenmesinin yanı sıra, aldatma taktiklerinde endişe verici bir evrime işaret ediyor.
Dağınık örümcek, önemli sermaye veya değerli verilerle CIS dışı ülkeleri hedeflemeye devam ettikçe, kuruluşlar riske dayalı kimlik doğrulama, sertleştirilmiş atlama kutularında zorunlu MFA ve düzenli sosyal mühendislik değerlendirmeleri ile savunmaları desteklemelidir.
2024’teki tutuklamalarla bile bozulmamış olan bu grubun ortaya koyduğu sürekli tehdit, hem insan hem de teknolojik güvenlik açıklıklarından yararlanan kimlik bilgisi hırsızlığı ve fidye yazılımı kampanyaları riskini azaltmak için uyarlanabilir güvenlik önlemleri ve eyleme geçirilebilir zeka talep ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin