Google Cloud’un Maniant Consulting, kötü şöhretli dağınık örümcek grubundan bir aktivitede bir düşüşe tanık olduğunu ortaya koydu, ancak kuruluşların savunmalarını desteklemek için durgunluktan yararlanma ihtiyacını vurguladı.
Google Cloud’daki Mandiant Danışmanlığı CTO’su Charles Carmakal, “İngiltere’deki Dağınık Örümcek (UNC3944) üyelerine bağlı olan tutuklamalar, İngiltere’deki Danışmanlık, bu özel tehdit aktörüne doğrudan atfedilebilecek yeni müdahaleler gözlemlemedi.” Dedi.
Diyerek şöyle devam etti: “Bu, kuruluşların UNC3944 taktiklerini bu kadar etkili bir şekilde incelemek, sistemlerini değerlendirmek ve güvenlik duruşlarını buna göre güçlendirmek için yararlanmaları gereken kritik bir fırsat penceresi sunuyor.”
Carmakal ayrıca, UNC6040 gibi diğer tehdit aktörleri, hedef ağları ihlal etmek için dağınık örümcek olarak benzer sosyal mühendislik taktikleri istihdam ettikleri için işletmeleri “tamamen koruyamamaları” konusunda uyardı.
Carmakal, “Bir grup geçici olarak uykuda olsa da, diğerleri merhamet etmeyecek.”
Geliştirme, teknoloji devinin, finansal olarak motive olmuş Hacking Group’un VMware ESXI hipervizörlerini Kuzey Amerika’daki perakende, havayolu ve ulaşım sektörlerini hedefleyen saldırılarda agresif hedeflemesini detaylandırmasıyla geliyor.
ABD hükümeti, Kanada ve Avustralya’nın yanı sıra, Federal Soruşturma Bürosu (FBI) tarafından bu aya kadar yürütülen soruşturmaların bir parçası olarak elde edilen dağınık örümceklerin güncellenmiş tradecraft’ı özetleyen güncellenmiş bir danışma yayınladı.
Ajanslar, “Dağınık örümcek tehdidi aktörlerinin, en son Dragonforce fidye yazılımı da dahil olmak üzere veri gasp saldırılarında çeşitli fidye yazılımı varyantları kullandıkları biliniyor.” Dedi.
“Bu aktörler sıklıkla kimlik avı, itme bombalama ve abone kimlik modülü takas saldırıları gibi sosyal mühendislik tekniklerini kullanır, kimlik bilgileri elde etmek, uzaktan erişim araçlarını kurmak ve çok faktörlü kimlik doğrulama atlar. Dağınık örümcek tehdidi aktörleri sürekli olarak proxy ağlarını kullanır. [T1090] ve algılama ve yanıtı daha da engellemek için makine adlarını döndürün. “
Grup ayrıca, çalışan olarak görev yapmak ve/veya masa personeline hassas bilgiler sağlamaya, çalışanın şifresini sıfırlamaya ve çalışanın çok faktörlü kimlik doğrulamasını (MFA) kontrolleri altındaki bir cihaza aktarmak için yardımcı olmak için gözlemlenmiştir.
Bu, çalışan kimlik bilgileri elde etmek veya ilk erişimi sağlayan ticari uzaktan erişim araçlarını çalıştırmaları için telefon görüşmesinde veya SMS mesajlarında yardım masası personelini taklit eden tehdit aktörlerinden bir geçiş yapar. Diğer durumlarda, bilgisayar korsanları Rusya Market gibi yasadışı pazar yerlerinde çalışan veya yüklenici kimlik bilgileri satın aldı.
Ayrıca hükümetler, dağınık Spider’ın uzaktan erişimi kolaylaştırmak ve hassas bilgileri toplamak için Ave Maria (Warzone Rat), Raccoon Stealer, Vidar Stealer ve Ratty Rat gibi kolayca mevcut kötü amaçlı yazılım araçlarını kullanmasını ve veri söndürme için bulut depolama hizmeti mega’larını çağırdı.
Danışma, “Birçok durumda, dağınık örümcek tehdidi aktörleri, kısa sürede büyük miktarda veriyi dışarı atmak için hedeflenen bir kuruluşun kar tanesi erişimini arar, genellikle binlerce sorgu çalıştırır.”
“Daha yeni olayların söz konusu olduğu güvenilir üçüncü taraflara göre, dağınık örümcek tehdidi aktörleri Dragonforce fidye yazılımlarını hedeflenen kuruluşların ağlarına yerleştirmiş olabilir ve böylece VMware Elastik Sky X Entegre (ESXI) sunucularını şifreleyebilir.”