Resim: Yolculuğun ortasında
FBI, ABD’deki perakende şirketlerini, finansal motivasyona sahip bir bilgisayar korsanlığı grubunun en az Ocak 2024’ten bu yana kimlik avı saldırılarıyla hediye kartı departmanlarındaki çalışanları hedef aldığı konusunda uyardı.
Storm-0539 olarak takip edilen bu bilgisayar korsanlığı grubu, çok faktörlü kimlik doğrulamayı atlamalarına olanak tanıyan gelişmiş bir kimlik avı kiti kullanarak perakende departmanı personelinin kişisel ve iş amaçlı mobil cihazlarını hedef alıyor.
Saldırganlar, bir çalışanın hesabına sızdıktan sonra ağ boyunca yanlara doğru hareket ederek hediye kartı iş sürecini tanımlamaya çalışıyor ve bu özel portföyle bağlantılı, güvenliği ihlal edilmiş hesaplara yöneliyor.
Hediye kartı departmanı personelinin oturum açma bilgilerini çalmanın yanı sıra, çabaları güvenli kabuk (SSH) şifrelerini ve anahtarlarını ele geçirmeye kadar uzanıyor. İsimler, kullanıcı adları ve telefon numaraları gibi çalınan çalışan bilgileriyle birlikte bunlar mali kazanç için satılabilir veya Storm-0539 tarafından gelecekteki saldırılarda kullanılabilir.
Bilgisayar korsanları kurbanın kurumsal hediye kartı departmanına sızmayı başarırsa, sahte hediye kartları oluşturmak için ele geçirilen çalışan hesaplarını kullanıyorlar.
FBI, Özel Sektör Bildiriminde şöyle dedi: “Bir örnekte, bir şirket, sistemlerinde STORM-0539’un sahte hediye kartı faaliyetini tespit etti ve sahte hediye kartlarının oluşturulmasını önlemek için değişiklikler başlattı.” [PDF] bu hafta yayınlandı.
“STORM-0539 aktörleri, yok etme saldırılarına devam etti ve kurumsal sistemlere yeniden erişim elde etti. Daha sonra aktörler, kullanılmamış hediye kartlarını tespit etme taktiklerini değiştirdiler ve hediye kartlarını kullanmak için ilgili e-posta adreslerini STORM-0539 aktörleri tarafından kontrol edilen adreslerle değiştirdiler. “
Storm-0539’un saldırılarına karşı nasıl savunma yapılır?
FBI, Amerika Birleşik Devletleri’ndeki perakende şirketlerine olay müdahale planlarını gözden geçirmelerini ve güncellemelerini, kimlik avı dolandırıcılıklarını tanımaları ve bu tür riskleri ve etkileri azaltmak için kimlik bilgileri gibi hassas bilgileri e-posta, sohbet veya telefon görüşmeleri yoluyla paylaşmamaları konusunda çalışanlarını eğitmeyi düşünmelerini tavsiye ediyor. Kimlik avı saldırıları.
Potansiyel hedefler ayrıca mümkün olan her yerde çok faktörlü kimlik doğrulamayı gerektirmeli, güncel antivirüs ve kötü amaçlı yazılımdan koruma çözümleri kullanmalı, güçlü şifre politikaları uygulamalı ve ağlarında en az ayrıcalık ilkesini uygulamalıdır.
FBI’ın PIN’i, tatil sezonunda Storm-0539 hediye kartı dolandırıcılığı ve hırsızlık saldırılarında artış olacağı konusunda Microsoft’un Aralık ayı ortasında yaptığı uyarının ardından geldi.
Microsoft, “İlk oturuma ve belirtece erişim kazandıktan sonra Storm-0539, MFA korumalarını atlayarak ve tamamen tehlikeye atılmış kimliği kullanarak ortamda kalmaya devam ederek sonraki ikincil kimlik doğrulama istemleri için kendi cihazını kaydediyor” dedi.
“Her başarılı ihlalde Storm-0539 ayrıcalıkları yükseltir, yatay hareket eder ve belirli bilgileri toplamak için bulut kaynaklarına erişir. Storm-0539 dahili kaynakları sıralar ve hediye kartı dolandırıcılığı için kullanılabilecek hediye kartıyla ilgili hizmetleri tanımlar.”