FBI, Dağınık Örümcek Hacker Grubunun Kullandığı Teknikleri Paylaşıyor

   Kasım 17, 2023  Posted in CyberSecurityNews


FBI, Dağınık Örümcek Hacker Grubunun Kullandığı Taktikleri ve Teknikleri Paylaşıyor

Son aylarda, Scattered Spider hack grubu (diğer adıyla Starfraud, UNC3944, Scatter Swine ve Muddled Libra) aşağıdaki kumarhane devlerine saldırdığı iddiasıyla haberler yaptı:-

FBI ve CISA kısa süre önce ticari tesisleri hedef alan Dağınık Örümcek tehdit aktörleri hakkında ortak bir Siber Güvenlik Tavsiyesi (CSA) yayınladı.

DÖRT

FBI Taktikleri ve Teknikleri

FBI ve CISA’nın son tavsiyeleri, büyük şirketleri hedef alan sofistike bir hacker grubu olan Scattered Spider’ın Kasım 2023’teki son TTP’lerini ortaya koyuyor.

Bu tehdit grubu Scattered Spider, veri hırsızlığı ve BlackCat/ALPHV fidye yazılımı kullanımıyla tanınırken, kurumlar kritik altyapı kuruluşlarını önerilen hafifletici önlemleri uygulamaya çağırıyor.

Bunun yanı sıra, Scattered Spider hacker grubu sosyal mühendislik konusunda uzmandır ve aşağıdaki gibi birçok sosyal mühendislik tekniğini kullanır: –

  • Kimlik avı saldırıları
  • Bombalı saldırıları bastırın
  • Abone kimlik modülü (SIM) takas saldırıları

Bu saldırıların yardımıyla kimlik bilgilerini elde ediyorlar ve ardından Multi-Factor Authentication’ı (MFA) atlatmak için hedeflenen sisteme uzaktan erişim araçları yüklüyorlar.

FBI, Scattered Spider’ın ağ sonrası erişim için yasal uzaktan erişim araçlarını kullandığını belirtiyor.

Bu tavsiye, ABD hükümetinin fidye yazılımı çetelerine karşı uyguladığı baskıyı yansıtıyor ve daha fazla kurbanı, tehditleri tespit etmek ve bunlara karşı koymak için gelişmiş kolektif bilgiler için öne çıkmaya teşvik ediyor.

Kullanılan TTP’ler

Aşağıda Scattered Spider hacker grubunun kullandığı tüm TTP’lerden bahsettik: –

Kullanılan aletler:

  • Fleetdeck.io – Sistemlerin uzaktan izlenmesine ve yönetilmesine olanak tanır.
  • Level.io – Sistemlerin uzaktan izlenmesini ve yönetilmesini sağlar.
  • Mimikatz [S0002] – Bir sistemden kimlik bilgilerini çıkarır.
  • etek [S0508] – İnternet üzerinden tünel açarak yerel bir web sunucusuna uzaktan erişim sağlar.
  • Pulseway – Sistemlerin uzaktan izlenmesine ve yönetilmesine olanak tanır.
  • Screenconnect – Yönetim için ağ cihazlarına uzaktan bağlantı yapılmasını sağlar.
  • Splashtop – Yönetim için ağ cihazlarına uzaktan bağlantı yapılmasını sağlar.
  • Taktik.RMM – Sistemlerin uzaktan izlenmesini ve yönetilmesini sağlar.
  • Tailscale – Ağ iletişimlerinin güvenliğini sağlamak için sanal özel ağlar (VPN’ler) sağlar.
  • Teamviewer – Yönetim için ağ cihazlarına uzaktan bağlantı kurulmasını sağlar.

Kullanılan kötü amaçlı yazılım:

  • AveMaria (WarZone olarak da bilinir) [S0670]) – Mağdurun sistemlerine uzaktan erişim sağlar.
  • Raccoon Stealer – Oturum açma kimlik bilgileri de dahil olmak üzere bilgileri çalar [TA0006]Tarayıcı geçmişi [T1217]kurabiye [T1539]ve diğer veriler.
  • VIDAR Stealer – Oturum açma kimlik bilgileri, tarayıcı geçmişi dahil bilgileri çalar.
  • çerezler ve diğer veriler.

Kullanılan domainler:

  • kurbanadı-sso[.]iletişim
  • kurbanadı-hizmet masası[.]iletişim
  • kurbanın adı-okta[.]iletişim

Kullanılan Taktikler ve Teknikler:

Keşif ve Kaynak Geliştirme

Keşif ve Kaynak Geliştirme (Kaynak - CISA)
Keşif ve Kaynak Geliştirme (Kaynak – CISA)

İlk Erişim ve Yürütme

İlk Erişim ve Yürütme (Kaynak - CISA)
İlk Erişim ve Yürütme (Kaynak – CISA)

Kalıcılık, Ayrıcalık Artışı ve Savunmadan Kaçınma

Kalıcılık, Ayrıcalık Artışı ve Savunmadan Kaçış (Kaynak - CISA)
Kalıcılık, Ayrıcalık Artışı ve Savunmadan Kaçınma (Kaynak – CISA)

Kimlik Bilgisine Erişim ve Keşif

Kimlik Bilgisine Erişim ve Keşif (Kaynak - CISA)
Kimlik Bilgisine Erişim ve Keşif (Kaynak – CISA)

Yanal Hareket ve Toplama

Yanal Hareket ve Toplama (Kaynak - CISA)
Yanal Hareket ve Toplama (Kaynak – CISA)

Komuta ve Kontrol, Sızma ve etki

Komuta ve Kontrol, Sızma ve Etki (Kaynak - CISA)
Komuta ve Kontrol, Sızma ve Etki (Kaynak – CISA)

Öneriler

Siber güvenlik araştırmacılarının sunduğu tüm önerilerden aşağıda bahsettik: –

  • Uygulama kontrollerini uygulayın.
  • Kötü niyetli aktörlerin tehdidini azaltın.
  • FIDO/WebAuthn kimlik doğrulamasını veya Genel Anahtar Altyapısı (PKI) tabanlı MFA’yı uygulama.
  • Uzak Masaüstü Protokolü (RDP) ve diğer uzak masaüstü hizmetlerinin kullanımını kesinlikle sınırlayın.
  • Bir kurtarma planı uygulayın.
  • Verilerin çevrimdışı yedeklerini koruyun.
  • Parolayla oturum açma bilgilerine sahip tüm hesapların, parola politikaları geliştirme ve yönetme konusunda NIST standartlarına uymasını zorunlu kılın.
  • Kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
  • Tüm işletim sistemlerini, yazılımları ve ürün yazılımlarını güncel tutun.
  • Segment ağları.
  • Belirtilen fidye yazılımının anormal etkinliğini ve potansiyel geçişini bir ağ izleme aracıyla belirleyin, tespit edin ve araştırın.
  • Tüm ana bilgisayarlara virüsten koruma yazılımı yükleyin, düzenli olarak güncelleyin ve gerçek zamanlı algılamayı etkinleştirin.
  • Kullanılmayan bağlantı noktalarını ve protokolleri devre dışı bırakın.
  • E-postalara bir e-posta başlığı eklemeyi düşünün.
  • Köprüleri devre dışı bırakın.
  • Tüm yedekleme verilerinin şifrelendiğinden ve değiştirilemez olduğundan emin olun.

Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.



Source link