Siber Salon, Finans ve Bankacılık, Sahtekarlık Yönetimi ve Siber Suç
Son zamanlarda hedeflenen saldırılar, Undercut Group’un iddia edilen ‘Karanlık Gidiyor’ Emeklilik
Mathew J. Schwartz (Euroinfosec) •
16 Eylül 2025
Emeklilik iddialarına rağmen kötü şöhretli bir siber suç ve fidye yazılımı grubu mashup unsurları devam ediyor gibi görünüyor.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Anadili İngilizce konuşan ergen hacker grubunun bir üyesi, son zamanlarda kendisini dağılmış Lapsus $ avcılarını çağırıyor Cuma günü yayınlanan kolektifi ilan eden yarı uyumlu bir tarama “kararıyor”. Birçok siber güvenlik uzmanı şüphecilikle karşılık verdi.
Kanıtlar, en azından gevşek örgü hackleme kolektifinin bazı üyelerinin hedeflere ulaşmaya devam ettiğini göstermektedir.
Tehdit istihbarat firması Reliaquest, dağınık örümceğe bağlı bilinen uzlaşma göstergelerini hala gördüğünü söyledi.
Firma, bir ABD bankacılık organizasyonunun – hangisini adlandırmadığını – emeklilik duyurusundan sonra meydana gelen teknik olarak sofistike dağınık bir örümcek saldırısına kurban ettiğini söyledi. Saldırgan, kurbanın Amazon Web hizmetleri ve bulut tabanlı veri platformu kar tanesi ile ilgili hesapları da dahil olmak üzere birden fazla depodan veri çalmaya çalıştı.
“Dağılımlı Örümcek, bir yöneticinin hesabını sosyal olarak mühendislik yaparak ve şifrelerini Azure Active Directory Self-Service şifre yönetimi aracılığıyla sıfırladı. Oradan, hassas BT ve güvenlik belgelerine eriştiler, Citrix ortamı ve VPN’si yanal olarak hareket ettiler ve VMware ESXI altyapısını tökezledi ve daha fazla sicilate,” dedi. “Ayrıcalıkları artırmak için, saldırgan bir Veeam hizmet hesabı şifresini sıfırlar, Azure Global Yönetici izinlerini atar ve tespitten kaçınmak için sanal makineleri yeniden yerleştirir.”
Finansal hizmetler sektörü, grup tarafından yüksek saldırı riski altında kalıyor gibi görünüyor. Son iki ay boyunca, dağınık örümcek unsurları, finansal hizmetler sektörünü ve teknoloji hizmetlerinin sağlayıcılarını hedeflemek için tasarlanmış “koordineli bir bilet temalı kimlik avı alanları ve Salesforce kimlik bilgisi hasat sayfaları” kaydetti ve bu sektörlere sürekli odaklanıyor.
Bakım alan adlarını kaydetmek, Çin ulus devlet gruplarından dağınık örümceklere kadar birçok saldırgan tarafından kullanılan tekrarlı bir taktiktir. Bu tür URL’ler kurbanları ziyaret ettikleri bir bağlantıyı düşünmek için kandırmak için tasarlanmıştır.
Dağınık örümcek durumunda, grubun ” okta,– helpdesk Ve ssogenellikle tire ile biçimlendirilir, örneğin, SSO-company.com“Tek oturum açma ile ilgili olarak, Reliaquest.” Bu alanlar, tek oturum açma giriş sayfalarına ev sahipliği yapmak için yaygın olarak kullanılan kimlik avı kitleri ile ilişkili altyapı kullanılarak kaydedildi-Dağınık Spider’ın önceki SSO temalı saldırılarının OKTA gibi gözetleme markalarını arama kartı. ”
Alan adının 1 Ağustos kaydı dashboard-salesforce.comSalesforce müşterilerine yönelik hedeflenen kimlik avı saldırıları için kullanılan, dağınık örümceklerin işi gibi göründüğünü söyledi.
Taktikleri ve başarıyı tekrarlayın
Dağınık Örümcek ve Shinyhunters üyeleri, sesli kimlik avı, yani Vishing de dahil olmak üzere sosyal mühendislikte mükemmeldir. Bu genellikle bir yardım masasını saldırganın meşru bir çalışan olduğuna inanmak için kandırmayı içerir, parolaların sıfırlanmasına ve tek oturum açma belirteçlerinin ele geçirilmesine yol açar. Bazı durumlarda uzmanlar, saldırganların bir kurbanı, kimlik avı saldırısının bir parçası olan yarattıkları destek panellerini ziyaret ettiklerini söylüyor.
Yılın ortasından bu yana, dağınık örümcek üyeleri İngiliz perakendecilerin Marks & Spencer’ı ihlal ettiler ve bunu Adidas ve Victoria’s Secret gibi Amerikalı perakendeciler izledi. Grup, AFLAC ve Allianz Life, Air France, KLM ve Qantas dahil olmak üzere küresel havayolları ve teknoloji devleri Cisco ve Google gibi Amerikalı sigorta şirketlerini hedefliyor.
Daha yakın zamanlarda, grup hem İngiliz otomobil üreticisi Jaguar Land Rover hem de Moda markaları Gucci, Balenciaga ve McQueen’i işleten Paris merkezli Kering’den müşteri verilerini çaldı.
Çoğu zaman, saldırganların amacı, kuruluşun Salesforce örneğine erişim elde etmeyi içeriyordu, daha sonra büyük miktarda veri sunuyorlar.
Güvenlik uzmanları, Ekim 2024’ten başlayarak UNC6040 olarak görülen bu tehdit faaliyet kümesini izliyor.
FBI, Cuma günü danışmanlıkta, “UNC6040 tehdit aktörleri genellikle kurbanların çağrı merkezlerini, işletme çapında bağlantı sorunlarını ele alan çalışanları desteklediği için pozlamayı çağırıyor.” Dedi. “Otomatik olarak üretilen bir bileti kapatma kisvesi altında, UNC6040 aktörler, müşteri destek çalışanlarını saldırganlara erişim sağlayan veya çalışan kimlik bilgilerinin paylaşılmasına yol açarak, hedeflenen şirketlerin müşteri verilerini sunmak için hedeflenen şirketlerin örneklerine erişmelerine izin veren eylemleri almaya yönlendirir.”
UNC6040 saldırıları düzenli olarak bir kurbanın, Shinyhunters grubunun üyesi olduğunu iddia eden birinden gasp talebi almasına neden olduğunu ve çalınan verileri sızdırmama sözü karşılığında bir kripto para fidye ödemesi aradığını söyledi. Bu gasp talepleri, izinsiz giriş ve veri ortaya çıktıktan sonra “günden aylara” gelebileceğini söyledi.
Grup şimdi kendisini dağınık Lapsus $ avcılarını çağırdı, uzmanlar, 2022 yılına kadar kurulan COM olarak bilinen gevşek bir siber suç kolektifinden fırladı. Başlangıçta, dağınık örümcek ve parıltılar ilişkili ama ayrı çabalar gibi görünüyordu.
Daha yakın zamanlarda, kapsama çabasının üyeleri – yanaktaki dil adı dağılmış Lapsus $ avcıları göz önüne alındığında – sonucuna bağlı olarak bir saldırıda bir veya diğer grubun adını tokatladıkları ölçüde yüksek derecede geçiş olduğunu öne sürdüler. Dağınık örümcek, veri açığa çıkma ve fidye yazılımı içeren grubun saldırılarına atıfta bulunurken, Shinyhunters saldırıları sadece veri açığa çıkmasını içeriyordu. Her iki durumda da, finansal olarak motive edilmiş saldırganlar genellikle kurbanları zorlamaya odaklanmıştır (bkz:: Dağınık Örümcek ve Parlaklıkların Sonraki Hareketi: Sızan Veriler).