Dolandırıcılık Yönetimi ve Siber Suç, Sosyal Mühendislik
Perakende ile bağlantılı taktikler, havayolu uzlaşmaları
Akhabokan Akan (Athokan_akhsha) •
25 Temmuz 2025
Dağınık Örümcek olarak izlenen gevşek bağlı ergen siber suçlu bandı, Active Directory’nin kurumsal örnekleri aracılığıyla sanal sunuculara dönerek VMware Hipervisor Hacking Bandwagon’a katıldı.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Grup tarafından perakende, havayolu ve sigorta sektörlerine verilen veri hırsızlığı ve fidye yazılımı saldırıları, Google’a ait tehdit Intel firması Mandiant’ın Çarşamba blog yazısında söyledi (bkz.: Bkz. Qantas veri ihlalinden şüphelenilen dağınık örümcek).
Rapid7’deki Tehdit İstihbarat ve Analizi Kıdemli Müdürü Christiaan Beek, “Kritik iş yükleri güçlendirilebilir, fidye yazılımı tüm sanal ortamda ve veritabanları, alan denetleyicileri veya tescilli kod gibi hassas veriler içeren sanal makineler klonlanabilir ve söndürülebilir” dedi.
Yerli İngilizce konuşan siber suçlu grubu, yardım masalarını yüksek değerli şifrelerden vazgeçmek için manipüle etme konusunda yetkindir. Mantiant, dağınık örümcek aktörlerinin, kolaylık için bir entegrasyon şirketi olan VMware vSphere’nin sıkı entegrasyonlarını aradıkları Active Directory ortamlarına erişmek için sosyal mühendislik tekniklerini kullandıklarını söyledi.
Bilgisayar korsanları, ESXI hipervizörlerinin görev açısından kritik hizmetleri desteklediğini ancak genellikle sadece yarı tanımlandığını bilerek uzun süredir VSphere’i hedef aldı. Maniant, yeni geliştirilen fidye yazılımlarının özellikle ESXI sistemlerini hedefleyen 2020’de kabaca% 2’den% 10’dan fazla büyüdüğünü söyledi. Tehdit aktörleri, verilerine göre çoğunlukla Redbike, Ransomhub ve Lockbit.Black varyantlarını konuşlandırdı.
Vsphere’i hedeflemek için hacker güdüleri, bir ESXI hackinin teknolojinin altında yatan sistemik güvenlik zayıflıklarıyla birlikte olabileceği muazzam aksamalara iner. Mantiant, kamu bulutlarından kritik iş yüklerini geri gönderen şirketlerin “belirgin bir eğilimini” gözlemlediğini, daha fazla operasyonel gözetim için kısmen talepleri oluşturan şirket içi vSphere ortamlarına kadar gözlemlediğini söyledi.
Ancak hipervizörlerin yükseltilmesi zor ve pahalı olabilir ve bilgisayar korsanlarının bilinen fakat eşleştirilmemiş güvenlik açıklarından yararlanmasına izin verir. VMware’in tescilli hipervizörü, uç nokta algılama ve yanıt ile entegrasyonu önler. Şirketin vCenter Server yazılım platformu, güvenlik bilgilerine ve etkinlik yönetimi platformlarına iyi entegre olmaz. Güvenlik firması Sophos’un 2024’te yazdığı gibi, bir ESXI sunucusuna karşı başarılı bir saldırı için çubuk, gerçek sanal makinenin kendisinden çok daha düşük. “Neden tüm bu korumaları eğip altta yatan, güvensiz yapılandırılmış ana bilgisayarları hedefleyebileceğiniz zaman, VMS’ye saldırarak neden EDR ve potansiyel olarak MDR (yönetilen tespit ve yanıt) ile ilgileniyor musunuz?”
Active Directory ile entegrasyon, ESXI’nin Active Directory kullanıcıları için çok faktörlü kimlik doğrulama desteği eksikliği nedeniyle başka bir güvensizlik katmanı eklediğini söyledi. “Etki alanı birleştirme, kritik hipervizörün tek faktörlü şifre tabanlı kimlik doğrulamasına erişimini ortaya koyuyor.”
Dağınık Spider’ın içgörü, Active Directory’ye giden sosyal mühendisliğin ona “verileri yaymak ve fidye yazılımlarını doğrudan hipervizörden dağıtmak için bir yol” vermesidir. Geleneksel fidye yazılımı dağıtımlarından farklı olarak, dağınık örümcek, nüfuz eden Active Directory’den kripto kilitleyen kötü amaçlı yazılımları saatler içinde dağıtmaya geçiyor.
Mantiant ayrı ayrı işletmelere ESXI ana bilgisayarlarına doğrudan Active Directory’ye katılmamalarını tavsiye etti. “Tüm ana bilgisayar erişimini yalnızca vCenter rolleri ve izinlerle yönetin. Bu, saldırı yüzeyini büyük ölçüde azaltır” dedi.
İlk erişim elde ettikten sonra, dağınık örümcek bilgisayar korsanları, idari haklara sahip “vSphere Adims” veya “ESX yöneticileri” gibi Active Directory güvenlik gruplarını ararlar. Böyle bir grubu bulmak, saldırganın parola sıfırlaması isteyen ayrıcalıklı bir kullanıcıyı taklit ettiği ikinci bir sosyal mühendislik saldırısına yol açabilir. Bir şifre ile donatılmış, çok faktörlü kimlik doğrulama eksikliği, özellikle bilgisayar korsanlarının sanal ortama kök erişimini elde etmesine ve sürdürmelerine yardımcı olur.
Imgersive Teknik Ürün Yönetimi Direktörü Dave Spencer, “Dağınık Spider’ın VMware vSphere’i hedeflemeye kayması daha geniş bir eğilimi temsil ediyor.” Dedi. Diyerek şöyle devam etti: “Bu yüzden sanallaştırma yazılımının etki alanına uygun olmaması ve yöneticilerin neden bu sistemlere günlük hesaplarından erişmemeleri çok önemlidir. Bunun yerine, ayrıcalıklı erişim iş istasyonlarını kullanmaları gerekir.”
Mantiant, vCenter için kimlik avı rezerv-dirençli MFA’nın uygulanmasını ve ESXI ve vCenter için uzaktan günlüğe kaydedilmesini sağlamak için dağınık örümcek saldırılarını önlemek için bir dizi güvenlik yükseltmesi önerdi. Nihayetinde, şirketlerin bir seçim yapmak zorunda kalacağını söyledi.
“Tehdit manzarasının evrimi, özellikle geleneksel uç nokta savunmalarını atlayan hipervizör tabakasının doğrudan hedeflenmesi, vSphere güvenliğinin nasıl yaklaşıldığı konusunda temel bir değişim gerektiriyor.”