Sessiz Push araştırmacıları, UNC3944 veya Octo Tempest olarak da bilinen kötü şöhretli hacker kolektif dağınık örümceğin, 2025’te Klaviyo, Hubspot ve saf depolama dahil olmak üzere önde gelen hizmetleri aktif olarak hedeflemeye devam ettiğini belirlediler.
En az 2022’den beri aktif olan bu grup, kullanıcı adları, giriş kimlik bilgileri ve çok faktörlü kimlik doğrulama (MFA) tokenlerini hasat etmek için sofistike sosyal mühendislik saldırıları yürütme konusunda bir üne kavuştu.
En son kampanyaları, güncellenmiş kimlik avı kitleri ve uzlaşmış sistemlere kalıcı erişim için tasarlanmış Spectre sıçanının (uzaktan erişim truva) yeni bir çeşidi ile taktikler, teknikler ve prosedürlerde (TTPS) endişe verici bir evrim göstermektedir.
.png
)
Sofistike kimlik avı ve sıçan kampanyaları
Silent Push’un analizi, dağınık Spider’ın büyük markalara ve yazılım satıcılarına odaklanmasını ortaya koyuyor, 2025 hedefleri Audemars piguet, Chick-fil-A, kredi karma, Forbes, Instacart, Louis Vuitton, Nike, T-Mobile ve Vodafone gibi yüksek profilli isimleri kapsıyor.
Kimlik avı operasyonları, KLV1.IT gibi alt alanlar için dinamik DNS satıcılarından yararlanarak daha zor hale geldi.[.]Klaviyo’nun SMS pazarlama özelliklerini taklit eden com.
Kamu kiralanabilir alt alanlara yapılan bu geçiş, geleneksel alan adı kayıt parmak izlerinden yoksun olduğu için geleneksel izleme yöntemlerini karmaşıklaştırır ve bu da algılamayı gelişmiş güvenlik araçları için bile zorlaştırır.
Sessiz Push, bu tür altyapı seçeneklerinin, Njalla, Virtuo ve Cloudflare gibi gizlilik odaklı sağlayıcılara barındırmanın birleşimi ile birlikte, operasyonel gizliliğe doğru kasıtlı bir hareket olduğunu belirtiyor.
Silent Push’un araştırmasında önemli bir keşif, gelişmiş gizleme, sofistike bir krykor ve hem 32 bit hem de 64 bit Intel mimarileri için destek içeren güncellenmiş Spectre sıçanıdır.
Bu kötü amaçlı yazılım, algılamadan kaçınmak için XOR tabanlı Dize Kodlama ve Dinamik Komut ve Kontrol (C2) sunucu yapılandırmalarını kullanırken veri eksfiltrasyonu, komut yürütme ve sistem keşfi sağlar.
Sabit kodlanmış C2 sunucuları, Dinamik Sunucu listelerini almak için sadece bir kez kullanılan tuzak olarak işlev görür ve tehdit oyuncusunun altyapısını daha da gizler.
Silent Push, GitHub’da bir Spectre sıçan dizesi kod çözücü ve C2 emülatörü için halka açık kodu piyasaya sürerek yanıt verdi ve savunucuları simüle edilmiş ortamlar veya operasyonel devralmalar yoluyla bu tehdidi analiz etmeleri ve hafifletmeleri için güçlendirdi.
Silent Push yeni taktikleri ortaya çıkarıyor
2023’ten beri beş benzersiz versiyonda izlenen dağınık Spider’ın kimlik avı kitleri de uyarlanabilirliği sergiliyor.
2025 yılında tespit edilen ve Cloudflare’de barındırılan en son kimlik avı kiti, T-Mobile, Tinder ve Nike gibi varlıkları hedefleyen tek bir sitede birden fazla marka şablonunu içeriyor.
Eski kitler, URL’lerde genellikle “Okta”, “SSO” veya “VPN” gibi anahtar kelimeleri kullanarak, sadece birkaç dakika ila saatlerce aktif olan kısa ömürlü alanlarla Okta oturum açma portallarını taklit eder.
Finansal, perakende ve telekomünikasyon gibi belirli sektörleri hedefleyen toplu alan kayıtları ile eşleştirilen bu hızlı dağıtım ve terk stratejisi, maruz kalmayı en aza indirirken grubun etkisi en üst düzeye çıkarma yaklaşımının altını çizmektedir.
Savunmaya yardımcı olmak için Silent Push, tehdit avı için ücretsiz bir topluluk baskısı platformunun yanı sıra, kurumsal müşteriler için gelecekteki saldırı (IOFA) beslemelerinin göstergelerini sunuyor.
Araştırmaları ayrıca Nicenic gibi kayıt şirketleri ve Cloudflare (AS13335) ve Digitalocean (AS14061) gibi ASN’ler de dahil olmak üzere dağınık Spider’ın tarihi altyapı tercihlerini de vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
Aşağıda, dağınık örümcek kampanyalarıyla ilişkili uzlaşma göstergelerinin (IOC’ler) örnek bir listesi bulunmaktadır ve siber güvenlik ekiplerine bu kalıcı ve gelişen tehdide karşı savunmalarını desteklemek için kritik veriler sunmaktadır.
| Gösterge | Tip |
|---|---|
| klv1.it[.]com | İhtisas |
| Corp-Hubspot[.]com | İhtisas |
| saf-okta[.]com | İhtisas |
| Twitter-Okta[.]com | İhtisas |
| SSO-Instacart[.]com | İhtisas |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir