ABD Federal Soruşturma Bürosu (FBI), kötü şöhretli siber suç grubunun, havayolu sektörüne çarpmak için hedefleme ayak izini genişleten örümceğin dağıldığını gözlemlediğini açıkladı.
Bu amaçla, ajans, aktiviteyle mücadele etmek ve mağdurlara yardım etmek için havacılık ve endüstri ortaklarıyla aktif olarak çalıştığını söyledi.
“Bu aktörler sosyal mühendislik tekniklerine güveniyor, genellikle çalışanları veya yüklenicileri, BT masalarını erişim sağlanmasına yardımcı olmak için aldatmak için taklit ediyorlar.” Dedi.
Dağınık örümcek saldırılarının aynı zamanda üçüncü taraf BT sağlayıcılarını büyük kuruluşlara erişim elde etmek, güvenilir satıcıları ve yüklenicileri potansiyel saldırı riskine sokmayı hedefledikleri bilinmektedir. Saldırılar tipik olarak veri hırsızlığı, gasp ve fidye yazılımı yolunu açar.
LinkedIn’de paylaşılan bir açıklamada, Palo Alto Networks Unit 42’den Sam Rubin, tehdit oyuncunun havacılık endüstrisine yönelik saldırılarını doğruladı ve kuruluşları ileri sosyal mühendislik girişimleri ve şüpheli çok faktörlü kimlik doğrulama (MFA) sıfırlama talepleri için “yüksek uyarı” yapmaya çağırdı.
Son zamanlarda dağınık Spider’ın ABD sigorta sektörünü hedeflemesi konusunda uyaran Google’ın sahip olduğu Mandiant, hack mürettebatının modus operandi’ye benzeyen havayolu ve ulaşım sektörlerindeki birden fazla olaydan haberdar olduğunu belirterek uyarıyı yineledi.
“Endüstrinin, çalışan/yüklenici hesaplarına yeni telefon numaraları eklemeden önce (Self-Service şifre sıfırlamalarını sıfırlamak için tehdit oyuncusu tarafından kullanılabilecek), MFA çözümlerine cihaz eklemek için kullanılabilecek (örneğin, çalışan kimlikleri), daha sonraki sosyal mühendis saldırıları için kullanılabilecek işçi bilgileri (örneğin, çalışan kimlikleri) sunmasını öneriyoruz.
Dağınık Örümcek dağılmasının bir nedeni, insan iş akışlarını ne kadar iyi anladığıdır. MFA gibi teknik savunmalar mevcut olsa bile, grup sistemlerin arkasındaki insanlara odaklanır – bu yardım masası personelinin, herkes gibi, ikna edici bir hikaye tarafından hazırlıksız yakalanabileceğini bilerek.
Bu kaba kuvvet hackleme ile ilgili değil; Güven oluşturmak için yeterince uzun süre güven inşa etmekle ilgilidir. Ve zaman kısa veya baskı yüksek olduğunda, sahte bir çalışan isteğinin nasıl geçebileceğini görmek kolaydır. Bu nedenle kuruluşlar geleneksel uç nokta güvenliğinin ötesine bakmalı ve kimlik doğrulamasının gerçek zamanlı olarak nasıl gerçekleştiğini yeniden düşünmelidir.
Dağınık örümcek olarak izlenen aktivite, çamurlu Terazi, Octo Tempest, Oktapus, Dağılım Domuzu, Yıldız Dolandırıcılığı ve UNC3944 gibi tehdit kümeleriyle örtüşüyor. Başlangıçta SIM değiştirme saldırıları ile bilinen grup, sosyal mühendislik, yardım masası kimlik avı ve hibrid ortamlara nüfuz etmek için ilk erişim teknikleri kadrosu arasında içeriden erişim sayıyor.
Halcyon, “Dağınık örümcek, derin sosyal mühendislik, katmanlı teknik sofistike ve hızlı çift uzatma yeteneklerini birleştirerek fidye yazılımı riskinde önemli bir evrimi temsil ediyor.” Dedi. “Birkaç saat içinde grup, hem ön planlarda hem de bulut ortamlarında fidye yazılımı ihlal edebilir, kalıcı erişim sağlayabilir, hassas verileri hasat edebilir, kurtarma mekanizmalarını devre dışı bırakabilir ve patlatabilir.”
Bu grubu özellikle tehlikeli kılan şey, hasta planlaması ve ani yükselme karışımıdır. Dağınık örümcek sadece çalıntı kimlik bilgilerine güvenmez, aynı zamanda Intel’i hedeflerine toplamak için zaman harcar, genellikle sosyal medya araştırmalarını insanları korkutucu doğrulukla taklit etmek için kamu ihlali verileriyle birleştirir. Bu tür hibrit tehdit, iş e -posta uzlaşması (BEC) tekniklerini bulut altyapısı sabotajı ile harmanlayan, çok geç olana kadar radarın altında uçabilir.
Dağınık Örümcek, Lapsus $ gibi diğer grupları da sayan COM (AKA Comm) adlı amorf bir kolektifin bir parçasıdır. En azından 2021’den beri aktif olduğu değerlendirilir.
Ünite 42, “Bu grup anlaşmazlık ve telgraf iletişim platformlarında gelişti, farklı geçmişlerden ve ilgi alanlarından üyeler çizdi.” Dedi. Diyerek şöyle devam etti: “Bu grubun gevşek örgüsü ve sıvı doğası, bozulmayı doğal olarak zorlaştırıyor.”
Cuma günü yayınlanan bir raporda, Reliaquest, dağınık örümcek aktörlerinin geçen ayın sonlarında baş finans görevlisini (CFO) hedefleyerek isimsiz bir organizasyonu nasıl ihlal ettiğini ve son derece hassas ve hesaplanmış bir saldırı yürütmek için yüksek erişimlerini istismar ettiklerini ayrıntılı olarak anlattı.
Tehdit aktörlerinin, yüksek değerli bireyleri seçmek için kapsamlı bir keşif yaptıkları bulunmuştur, özellikle CFO’yu şirketin BT yardım masasına yapılan bir çağrıda taklit etmek ve bunları hesaplarına bağlı MFA cihazını ve kimlik bilgilerini sıfırlamaya ikna etmek.
Saldırganlar ayrıca, CFO’nun doğum tarihine ve Sosyal Güvenlik numaralarının (SSN) son dört hanesini, giriş akışlarının bir parçası olarak şirketin kamu giriş portalına girmek için keşif sırasında elde edilen bilgileri de kullandı ve sonuçta çalışan kimliklerini doğruladı ve toplanan bilgileri doğruladı.
Şirket, “Dağınık Örümcek, C-Suite’in iki temel nedeni hesaba kattığını destekliyor: genellikle aşırı ayrıcalıklar ve bu hesaplara bağlı yardım talepleri genellikle aciliyetle muamele görerek başarılı sosyal mühendislik olasılığını artırıyor.” Dedi. Diyerek şöyle devam etti: “Bu hesaplara erişim, dağınık örümceğe kritik sistemlere bir yol verir ve keşifleri özel saldırı planlarının temel taşı haline getirir.”
CFO’nun hesabına erişim ile donatılmış dağınık örümcek aktörleri, hedef ortamda saldırılarını uyarlama ve hızla yükseltme yeteneğini gösteren bir dizi eylem gerçekleştirdi –
- Ayrıcalıklı hesaplar, ayrıcalıklı gruplar ve ayrıcalık artış ve kalıcılık için hizmet müdürleri üzerinde entra kimlik numaralandırması yapın
- Hassas dosyaları ve işbirliğine dayalı kaynakları bulmak için SharePoint keşfi yapın ve saldırılarını uyarlamak için kuruluşun iş akışları ve BT ve bulut mimarileri hakkında daha derin bilgiler kazanın
- CFO’nun çalınan kimlik bilgilerini kullanarak Horizon Sanal Masaüstü Altyapı (VDI) platformuna sızın ve sosyal mühendislik yoluyla iki ek hesaptan ödün ver, hassas bilgiler çıkarın ve sanal ortamda bir yer oluşturun
- Dahili kaynaklara kesintisiz uzaktan erişim sağlamak için kuruluşun VPN altyapısını ihlal etmek
- Daha önce hizmet dışı bırakılan sanal makineleri (VMS) eski haline getirin ve VMware vCenter altyapısına erişmek, sanallaştırılmış bir üretim alanı denetleyicisini kapatıp NTDS.DIT veritabanı dosyasının içeriğini çıkarmak için yenilerini oluşturun
- Crack Open Cyberark Parola Kasası için Yüksek Erişimlerini Kullanın ve 1.400’den fazla sır edin
- Meydan okulu kullanıcı hesaplarına yönetici rolleri atamak da dahil olmak üzere ayrıcalıklı hesapları kullanarak saldırı daha da ileriye götürmek
- Kontrolleri altında VM’lere kalıcılık oluşturmak için NGROK gibi meşru araçlar kullanın
- Organizasyonun güvenlik ekibi tarafından varlığı tespit edildikten sonra “kavurulmuş toprak” stratejisine başvurarak, Azure Güvenlik Duvarı Politikası Kural Toplama gruplarını kasıtlı olarak silmek için “Stealth üzerinden Hız” ı önceliklendirerek düzenli iş operasyonlarını engellemek
Reliaquest ayrıca, Microsoft’un kiracı üzerinde kontrolü geri yüklemek için adım attıktan sonra sona erdikten sonra sona eren bir savaş olan Entra Kimlik Kiracısı’ndaki küresel yönetici rolünün kontrolü için tehdit aktörleri arasında esasen bir römorkör olduğunu açıkladı.
Buradaki daha büyük resim, sosyal mühendislik saldırılarının artık sadece kimlik avı e-postaları değil, saldırganların her savunma katmanını atlamak için ayrıntılı oyun kitaplarını takip ettikleri tam kimlik tehdit kampanyalarına dönüştüler. Sim Swapping’den Vishing ve ayrıcalık yükselişine kadar Dağınık Örümcek, yol net olduğunda saldırganların ne kadar hızlı hareket edebileceğini gösterir.
Çoğu şirket için, ilk adım yeni araçlar satın almıyor – özellikle yardım masası onayları ve hesap kurtarma gibi şeyler için dahili süreçleri sıkılaştırıyor. Kimlik kararları için insanlara ne kadar çok güvenirseniz, onları gerçek dünya örnekleriyle eğitmek o kadar önemli olur.
Güvenlik araştırmacıları Alexa Feminella ve James Xiang, “Dağınık Spider’ın ilk erişim yöntemleri birçok kuruluşta kritik bir zayıflığı ortaya koyuyor: kimlik doğrulaması için insan merkezli iş akışlarına güvenmek,” dedi.
Diyerek şöyle devam etti: “Grup, Güven’i silahlandırarak güçlü teknik savunmaları atladı ve saldırganların hedeflerine ulaşmak için yerleşik süreçleri ne kadar kolay manipüle edebileceğini gösterdi. Bu kırılganlık, işletmelerin kimlik doğrulama protokollerini yeniden değerlendirmesi ve güçlendirmesi, rakipler için bir ağ geçidi olarak insan hata riskini azaltma ihtiyacını vurgulamaktadır.”