Siber güvenlik araştırmacıları, dağınık örümcek olarak bilinen kötü şöhretli siber suç grubuna finansal hizmetleri hedefleyen yeni bir siber saldırı turu bağladılar ve “Karanlık” iddialarından şüphe duyuyorlar.
Tehdit istihbarat firması Reliaquest, tehdit oyuncusunun odağını finans sektörüne kaydırdığına dair göstergeleri gözlemlediğini söyledi. Bu, potansiyel olarak sektörde dikey olarak tasarlanan gruba bağlı olan benzeri alanlarda bir artış ve aynı zamanda isimsiz bir ABD bankacılık kuruluşuna karşı yakın zamanda tanımlanmış hedefli bir müdahale ile desteklenmektedir.
Şirket, “Dağınık Örümcek, bir yöneticinin hesabını sosyal olarak mühendislik yaparak ve Azure Active Directory Self-Service şifre yönetimi aracılığıyla şifrelerini sıfırlayarak ilk erişimi kazandı.” Dedi.
“Oradan, hassas BT ve güvenlik belgelerine eriştiler, Citrix ortamı ve VPN’den yanal olarak hareket ettiler ve kimlik bilgilerini dökmek ve ağa daha fazla sızmak için VMware ESXI altyapısını tehlikeye attılar.”
Ayrıcalık artışı elde etmek için, saldırganlar bir Veeam hizmet hesabı şifresini sıfırlar, Azure Global Yönetici izinlerini atar ve tespitten kaçınmak için sanal makineleri yeniden yerleştirir. Dağınık Örümcek Snowflake, Amazon Web Services (AWS) ve diğer depolardan veri sunmaya çalıştığına dair işaretler de var.
Çıkış mı yoksa duman perdesi mi?
Son etkinlik, grubun Lapsus $ gibi 14 suç grubunun yanında operasyonları durdurdukları iddialarını azaltıyor. Dağınık Örümcek, Com adlı daha geniş bir çevrimiçi varlığın bir parçası olan gevşek örgü bir hackleme kolektifine atanan takma ad.
Grup ayrıca Shinyhunters ve Lapsus $ gibi diğer siber suç ekipleriyle yüksek derecede örtüşme paylaşıyor, o kadar ki üç küme “Dağınık Lapsus $ Hunters” adlı kapsayıcı bir varlık oluşturdu.
Bu kümelerden biri, özellikle Shinyhunters, kurbanların Salesforce örneklerinden gelen hassas verileri ortaya çıkardıktan sonra gasp çabalarında bulundu. Bu durumlarda, faaliyet, hedeflerin Google’ın sahip olduğu Maniant tarafından UNC6040 olarak izlenen finansal olarak motive edilmiş başka bir hack grubu tarafından tehlikeye atılmasından aylar sonra gerçekleşti.
Olay, kuruluşları tehdide karşı uyanık kalmaya çağıran Reliaquest, yanlış bir güvenlik duygusuna dönüşmemeyi hatırlatıyor. Fidye yazılımı gruplarında olduğu gibi, emeklilik diye bir şey yoktur, çünkü gelecekte farklı bir takma ad altında yeniden gruplandırmaları veya yeniden markalaşmaları çok mümkündür.
Trustwave’deki SpiderLabs Tehdit İstihbaratı Güvenlik Araştırma Müdürü Karl Sigler, “Dağınık örümcek emekli olduğu iddiası, önemli ölçüde şüphecilikle alınmalıdır.” Dedi. Diyerek şöyle devam etti: “Bu duyuru, gerçek bir dağılımdan ziyade, grubun kolluk baskısını artırmaktan uzaklaştırmak için stratejik bir harekete işaret ediyor.”
Sigler ayrıca veda mektubunun stratejik bir geri çekilme olarak görülmesi gerektiğine dikkat çekti, grubun uygulamalarını yeniden değerlendirmesine, tradecraft’ı geliştirmesine ve gelecekteki olayları aynı çekirdek eylemcilere bağlamayı zorlaştırarak zorunlu hale getirerek faaliyetlerine bir kapak koyma çabalarından kaçınmasına izin verdi.
“Grubun operasyonel altyapısı içindeki bir şeyin tehlikeye atıldığı mantıklıdır. İlerleyen bir sistem, ya da daha düşük kademeli bağlı kuruluşların tutuklanması yoluyla, en azından geçici olarak bir şey, tarihsel olarak, tarihsel olarak, sibercriminal grupların, sadece yükseltme veya nihayetinde rasarasyona karşı çıktıklarında, sık sık rasmana karşı çıktıklarında, sık sık rasmana karşı çıktıklarında, nihayetinde tetiklenir ve nihayetinde, nihayetinde, sık sık rasmana karşı koyulurlar, ancak rasmana karşı koyulurlar, çünkü sık sık görürler. yeni bir kimlik altında. “