Dağınık Örümcek olarak bilinen siber suçlu grup, saldırı metodolojilerini önemli ölçüde geliştirdi ve uzlaşmış ağlara kalıcı erişimi sürdürmek için meşru idari araçlardan yararlanmada endişe verici bir sofistike olduğunu gösterdi.
Ayrıca UNC3944, Scatter domuz ve karışık Terazi de dahil olmak üzere takma adlar altında izlenen bu finansal olarak motive edilen tehdit oyuncusu, Mayıs 2022’den bu yana, özellikle telekomünikasyonlara, bulut teknolojisi şirketlerine odaklanarak ve son zamanlarda perakende, finans ve havayolu sektörlerine odaklanıyor.
Grubun birincil saldırı vektörü, özellikle saldırganların çalışanları kimlik bilgilerini açıklamak veya uzaktan erişim yazılımı yüklemek için kandırmaya destek verdiği için yardım masası taklit edilmesi yoluyla sosyal mühendislik olmaya devam etmektedir.
Bu insan merkezli yaklaşımın, 2023’te MGM Resorts casino saldırısı da dahil olmak üzere yüksek profilli ihlallerin gösterdiği gibi yıkıcı derecede etkili olduğu kanıtlanmıştır, bu da yaklaşık 6 terabayt çalıntı veri ve 100 milyon doların üzerinde hasar ile sonuçlanmıştır.
Grubun operasyonları tipik olarak veri hırsızlığı ile gasp amaçları için doruğa ulaşır, genellikle ALPHV/Blackcat ve Dragonforce gibi fidye yazılım iştirakleriyle işbirliği yapar.
Rapid7 analistleri, son olay araştırmaları sırasında yeni bir kalıcılık mekanizması belirledi ve grubun daha önce dağınık örümcek operasyonlarıyla ilişkili olmayan bir altyapı erişim platformu olan ışınlamayı benimsemesini ortaya koydu.
Bu keşif, grubun kötü niyetli amaçlar için meşru araçlardan yararlanmada sürekli evrimini ve uyarlanabilirliğini vurgulamaktadır.
Altyapı erişim platformu kötüye kullanımı yoluyla gelişmiş kalıcılık
Gözlenen en önemli taktiksel yükseltme, dağınık Spider’ın meşru bir açık kaynaklı altyapı yönetim aracı olan sofistike ışınlama kullanımını içeriyor.
İlk sosyal mühendislik kampanyaları aracılığıyla idari düzeyde bulut erişimi elde ettikten sonra, saldırganlar, kalıcı uzaktan komut ve kontrol kanalları oluşturmak için uzlaşmış Amazon EC2 sunucularına stratejik olarak kurdular.
Bu teknik, ilk kullanıcı kimlik bilgileri veya VPN erişim noktaları güvenlik ekipleri tarafından keşfedildiğinde ve iptal edildiğinde bile sürekli uzaktan kabuk erişimi sağlayarak operasyonel yeteneklerde önemli ölçüde ilerlemeyi temsil eder.
Bir kalıcılık mekanizması olarak ışınlanmanın uygulanması, grubun bulut altyapı yönetimi konusundaki anlayışını ve kötü niyetli faaliyetleri meşru idari işlevlerle harmanlama yeteneklerini göstermektedir.
Özel kötü amaçlı yazılımlardan ziyade standart yönetim yazılımı kullanarak, dağınık örümcek, tipik olarak şüpheli yürütülebilir ürünleri veya ağ iletişimlerini işaretleyen geleneksel güvenlik izleme sistemleri tarafından algılama olasılığını önemli ölçüde azaltır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi