UNC3944, dağınık domuz ve çamurlu Terazi gibi takma adlar altında da izlenen dağınık örümcek, en azından Mayıs 2022’den beri müthiş finansal olarak motive olmuş bir siber suçlu grup olarak ortaya çıktı.
Başlangıçta, kimlik avı ve SIM-Swaying kampanyaları olan telekomünikasyon ve teknoloji firmalarını hedeflemekle bilinen grup, hem bulut hem de şirket içi ortamlarda tam spektrumlu, çok aşamalı müdahaleleri düzenledi.
İngiltere perakendecilerini, havayollarını ve finans ve perakende gibi sektörleri hedefleyen son yüksek profilli ihlalleri, genişleyen kapsamlarının ve rafine taktiklerinin altını çiziyor.
Sosyal mühendislik konusunda uzmanlaşmış olan dağınık örümcek genellikle, BT yardım masası personelinin çalışanları çalışanları kimlik bilgilerini ifşa etmesine veya uzaktan erişim yazılımlarını yüklemelerine, MFA yorgunluğu gibi teknikleri kullanma ve başlangıç erişimini elde etmek için masa dolandırıcılığı gibi teknikleri sömürmektedir.
İçeri girdikten sonra, kimlik altyapısı kötüye kullanımının derin bir anlayışını göstererek, geleneksel yükseltme yöntemlerini ortadan kaldırmak için yüksek privilge hesapları hedefliyorlar.
Gizli ve kalıcılık için meşru araçlardan yararlanmak
Örümcek dağınık bir şekilde ayrılan şey, kalıcılık ve kaçırma için meşru araçların ustaca kullanımıdır, tespit edilmesini önlemek için kötü niyetli aktiviteleri rutin BT operasyonlarıyla harmanlamaktır.
TeamViewer, Anydesk, Splashtop ve ConnectWise Control gibi araçlar, uzaktan erişim için arka kapılar olarak yeniden kullanılırken, Rapid7’de bir olayda son zamanlarda gözlenen ışınlama altyapısı erişim platformu gibi yeni mekanizmalar uyarlanabilirliklerini vurgulamaktadır.
Bu durumda, saldırganlar, kalıcı bir komut ve kontrol kanalını korumak için tehlikeye atılmış Amazon EC2 sunucularına bir ışınlama aracısı kurdu ve ilk kimlik bilgileri iptal edilmiş olsa bile erişimi sağladı.
Ek olarak, yanal hareket taktikleri AWS API aracılığıyla bulut numaralandırmasını kapsar. Windows RDP ve Psexec gibi KOBİ protokollerini kullanarak rol varsayımını ve şirket içi döner.
Araç setleri ayrıca Mimikatz gibi kimlik bilgisi hırsızlığı kamu hizmetlerini ve son nokta güvenlik çözümlerini devre dışı bırakmak için Stonestop ve Poorttry ile kendi adlandırıcı sürücü (BYOVD) saldırıları gibi ileri kaçış yöntemlerini de içerir.
Forgerock AM’de CVE-2021-35464 gibi güvenlik açıklarının kullanımı ile birleştiğinde, bu karaya oturma yaklaşımı, özel kötü amaçlı yazılımlara güvenmeyi en aza indirerek algılamayı zorlaştırır.
Savunma zorlukları
Dağınık Spider’ın son oyunu, 2025 İngiltere perakende saldırılarında görüldüğü gibi, ALPHV/Blackcat ve Dragonforce gibi fidye yazılımları gruplarıyla sıklıkla ortaklık kurarak, genellikle gasp için veri hırsızlığı içerir.
2023 mgm tatil köyleri tarafından kanıtlanan büyük veri kümelerini ekspiltratlama yetenekleri, 100 milyon doların üzerinde maliyete mal oluyor.
Bu tür tehditlere karşı savunmak, müstahkem kimlik güvenliği ve uyanık izlemeye odaklanan sağlam bir derinlemesine savunma stratejisi gerektirir.
Rapora göre, işletmeler yardım masası doğrulama süreçlerini güçlendirmeli, push bildirim korumaları ile kimlik avına dayanıklı MFA’yı uygulamalı ve AWS sistem yöneticisi gibi araçları anomaliler için denetim günlüklerini izlerken yetkili kullanıcılara kısıtlayarak bulut yollarını kilitlemelidir.
Son nokta tespiti, olağandışı giden bağlantılar için ağ izleme ve uzaktan uygulama araçları üzerinde sıkı kontrol, gizli taktiklerine karşı koymak için kritik öneme sahiptir.
Organizasyonlar, kimlik hijyeni, en az ayrıcalık ilkelerine ve çevrimdışı yedeklemelerle kapsamlı olay müdahale planlarına öncelik vererek, dağınık Spider’ın sofistike insan aldatma ve teknik sömürüsü karışımının ortaya koyduğu riskleri azaltabilir ve bu adaptif siber tehdide karşı dayanıklılık sağlayabilir.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt