ABD, Avustralya, Kanada ve İngiltere’nin siber güvenlik ajanslarına göre, dağınık örümcek hackleme kolektifi, taktiklerini geliştirmek ve zarar verici siber saldırılarının hizmetinde yeni kötü amaçlı yazılım varyantlarını dağıtmakta hala zor.
Dağınık Örümcek, 2025’in başlarında, ilk başta İngiliz perakendecileri Marks & Spencer, Co-op Group ve Harrods’a, Kuzey Amerika’daki hedeflere dönmeden önce perakendeciye, sigorta firmalarına ve organizasyonlara havacılık faaliyet gösteren siber saldırılarla geri döndü. Daha sonra çete. Çeteyle ilgili soruşturmalar birden fazla yargı alanında devam ediyor ve İngiliz yetkililer gruba bağlı olabilecek birkaç kişiyi tutukladı.
Şimdi, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Avustralya ve Kanada’daki Federal Soruşturma Bürosu (FBI) ve siber ajanslar aracılığıyla yayınlanan güncellenmiş bir danışma, 2025 Haziran tarihine kadar güncellenmiş taktikler, teknikler ve prosedürler (TTP’ler) uyarınca, çoklu saldırılara göre gözlemlenen bir çok sayıda dava.
Danışma, “Dağınık örümcek tehdidi aktörleri genellikle gasp için veri hırsızlığı yapıyor ve ayrıca en son DragonForce fidye yazılımlarını her zamanki TTP’lerinin yanında dağıtıyor” diyor.
“Bazı TTP’ler tutarlı kalırken, dağınık örümcek tehdidi aktörleri genellikle tespit edilmemek için TTP’leri değiştirir.
“Yazarlık kuruluşları, kritik altyapı organizasyonlarını ve ticari tesisleri, dağınık örümcek kötü niyetli faaliyetlerin olasılığını ve etkisini azaltmak için bu danışmanın hafifletme bölümündeki önerileri uygulamaya teşvik ediyor.”
Rattyrat ve diğer sürprizler
Tarihsel olarak, dağınık örümcek saldırıları, kötü niyetli, kurbana özgü alanlardan kaynaklanan geniş kimlik avı ve smacing girişimleriyle başladı.
Bazı küçük varyantlarla bu durum böyle olmaya devam ediyor-geç FBI tarafından gözlemlenen yeni alanlar, hedefleri dahil etti.[.]com, Name-Helpdesk’i hedefler[.]com ve oktalogin-hedefler adı[.]com. Dağınık Örümcek, Okta’nın geçmişteki saldırılarında (diğer takma adlarından biri 0ktapus) ve kimlik hizmetleri uzmanıyla karşılıksız aşk ilişkisi devam ediyor.
Mevcut saldırı dalgası aynı zamanda daha hedefli ve çok katmanlı mızrak kimlik avı kullanıyor ve oyun kitabına giriyor, genellikle girişimlerini zenginleştirmek ve daha ikna edici görünmek için bilgi toplamak için meşru B2B web sitelerini içeriyor.
Dağınık Örümcek de artık sosyal mühendislik nous’unu rafine ediyor gibi görünüyor ve yakın zamanda kurban çalışanları olarak poz verdiği veya personelin kimlik bilgisi bilgileri sağlamaya, dinlenme ve çok faktörlü kimlik doğrulama (MFA) kontrol ettikleri cihazlara aktarmaya yardımcı olmaları için poz verdiği gözlendi.
Erişim kuruldu, dağınık örümcek de teknik uzmanlık kadrosuna bir dizi yeni meşru uzaktan erişim tünelleme aracı ekledi. ScreAnconnect ve TeamViewer gibi şeylere ek olarak, şimdi ağ cihazlarına uzaktan erişim ve teleport.sh ve yerel sistemlere uzaktan erişimi etkinleştirmek için AnyDesk kullanıyor.
Danışma, dağınık Spider’ın kalıcı ve gizli erişim sağlamak ve kurbanlarının altyapısında dahili bir Recon faaliyetleri gerçekleştirmek için kullandığı yeni bir Java tabanlı uzaktan erişim Trojan dublajlı Rattyrat olarak detaylandırıyor. Çete aynı zamanda tespit edildiğine dair işaretler için yakın bir şey arıyor ve Microsoft Teams ve Slack gibi dahili uygulamaların izlenmesinin yanı sıra, şimdi çorap kukla sosyal medya profilleri tarafından onaylanan yeni kimlikler oluşturarak etkinliğini daha ikna edici hale getiriyor.
Danışma ayrıca, veri şifreleme ve gasp için Dragonforce fidye yazılımı ile çetenin şimdiye kadar iyi gözlemlenen ilişkisini not ediyor ve bu konuda VMware ESXI sunucularını giderek daha fazla hedefliyor. Fidye yazılımı saldırılarında verileri ortaya çıkardığında-artık daha fazla veri çalmak için kurbanlarının kar tanesi erişimini arıyor gibi görünüyor-Amazon’lar da dahil olmak üzere mega ve ABD tabanlı veri merkezleri de dahil olmak üzere birden fazla site kullanıyor ve kurbanlarıyla iletişim kurmak için TOR, Tox, e-posta ve şifreli uygulamaları kullanıyor.
Tam güncellenen danışmanlık, Hasta ATT & CK taktikleri ve teknikleri ve azaltma tavsiyeleri dahil olmak üzere çok sayıda ek bilgi içerir.
Ayrıca mağdurları, yerel yasal gereksinimlere tabi olarak yetkililere olayları bildirmeye çağırır ve şifrelenmiş veriler için fidye ödememeye rehberlik eder.
Güvenlik liderleri için paketler
Bir AI güvenlik platformu sağlayıcısı Swimlane’nin baş güvenlik otomasyon mimarı Nick Tausek, güncellenmiş danışmanlıktan iki büyük noktanın öne çıktığını söyledi.
“Birincisi, dağınık örümceklerin büyük miktarda veri yayma yeteneği çok fazla kırmızı bayrak oluşturmalıdır. Bir kuruluşun kar tanesine erişim, grubun hemen binlerce sorgu çalıştırmasına izin verir, genellikle hedef kuruluşların sunucularını şifrelemek için DragonForce kötü amaçlı yazılımları dağıtmak için.
“Bununla birlikte, daha da rahatsız edici olabilecek şey, grup tarafından sergilenen gayrettir. Güvenlik ekiplerinin saldırılarına nasıl uyum sağladığını belirlemek için tespit edilmeyen olayların iyileştirilmesi ve yanıt çağrılarına girme, bu çağrıları dinlemek, nasıl avlandıkları gibi bilgilere erişim sağlar.
“Kuruluşlar, sanal özel ağlar veya sanal masaüstü arayüzleri gibi uzaktan erişim yetkisini önleyebilecek uygulama kontrollerini yönetmelidir. Ayrıca, kuruluşlar uzak masaüstü protokolünün (RDP) kullanımını ciddi şekilde sınırlamalı ve Ransomware’in güvenlik savunmalarını ihlal etmesi durumunda çevrimdışı veri yedeklemeleri gibi kurtarma planları uygulamalıdır” dedi.