Siber suçlular, hizmet olarak kimlik avı (PHAAS) ekosistemlerinin yükselişi ile sağlanan, ortada (AITM) kimlik avı tekniklerinden giderek daha fazla yararlanıyor.
Bu operasyonlar, canlı kimlik doğrulama oturumlarını ele geçirerek çok faktörlü kimlik doğrulamasını (MFA) atlayarak finansal kurumları küresel olarak hedeflemektedir.
Tehdit aktörleri, kullanıcı girişlerini meşru web sitelerine aktarmak, kimlik bilgilerini ve oturum çerezlerini gerçek zamanlı olarak yakalamak için ters proxy sunucuları kullanır.
Bu, saldırganların MFA tamamlandıktan sonra bile hesapları kaçırmasına izin verir.
Tycoon 2FA ve Sneaky 2FA gibi önde gelen AITM phishing kitleri çekiş kazandı ve son yıllarda en yaygın kit olarak tycoon ortaya çıktı.
Bu kitler, siber suçlular için giriş engellerini düşüren ve özellikle finans sektöründe yüksek değerli hedeflere karşı ölçeklenebilir saldırıları sağlayan Phaas modeli altında dağıtılır.
Giriş portallarını taklit ederek ve tehlikeye atılmış altyapı kullanarak, bu kampanyalar kullanıcıların tespit etmesi için giderek zorlaştı.
Devlet destekli tehditler ve finansal casusluk
Ulus devletlerle bağlantılı gelişmiş kalıcı tehditler (APT’ler), finansal sistemler içindeki güvenlik açıklarını ikili amaçlar için kullanıyor: finansal kazanç ve istihbarat toplama.
Kuzey Kore’nin Lazarus Grubu, yaptırımlardan kaçınmak ve nükleer silah programını finanse etmek için bankaları ve kripto para platformlarını hedefleyen bu alanda önemli bir aktör olmaya devam ediyor.
VMConnect gibi son kampanyalar, arka kapı kötü amaçlı yazılım sunan sahte iş teklifleri aracılığıyla Spearphing de dahil olmak üzere Lazarus’un gelişen taktiklerini gösteriyor.
Benzer şekilde, İran APT33, Blackcat gibi fidye yazılım iştirakleriyle işbirliği yapan ilk Erişim Broker (IAB) stratejilerini benimsedi.
APT41 gibi Çinli gruplar, dış kaynak operasyonlarını kendi mali yararları için kullanan özel şirketlere dış kaynak kullanarak casusluk ve kar odaklı saldırılar arasındaki çizgileri bulanıklaştırdılar.
Fidye yazılımı operatörleri saldırıları artırır
Fidye yazılımı grupları finansal kuruluşlar için kalıcı bir tehdit olmaya devam ediyor, operasyonları engellemek için gelişmiş kötü amaçlı yazılım ve sıfır gün güvenlik açıkları kullanıyor.
RansomHub ve TA505 gibi gruplar, hassas bilgilerin halka açıklanmasını tehdit ederken verileri şifreleyen çift gasp taktikleri kullanan bankaları ve ödeme işlemcilerini hedeflediler.
RansomHub’ın özel kötü amaçlı yazılımı EdrkillShifter, başarıyı sağlamak için uç nokta algılama sistemlerini devre dışı bırakarak bu kampanyaların artan karmaşıklığını örneklendirir.
Ayrıca, fidye yazılımı aktörleri büyük ölçekli saldırılar için tedarik zinciri güvenlik açıklarından yararlanıyor.
Örneğin, TA505, dünya çapında birden fazla endüstriyi etkileyen 2024 kampanyası sırasında CLEO dosya transfer yazılımındaki sıfır gün kusurlarından yararlandı.
Sekoia raporuna göre, bu olaylar fidye yazılımı operatörlerinin büyüyen teknik yeteneklerinin ve bunların ortaya çıkan fırsatlara hızlı bir şekilde uyum sağlama yeteneklerinin altını çiziyor.
AITM kimlik avı kitlerinin yakınsaması, devlet destekli APT’ler ve fidye yazılımı operatörleri, finansal kurumları hedefleyen gelişen bir siber tehdit manzarasını vurgulamaktadır.
Phaas ekosistemlerinden yararlanan ve suç ağlarında işbirliği yapan saldırganlarla, gelişmiş kampanyaların yürütülmesinin önündeki engeller azalıyor.
Bu tehditler ölçek ve karmaşıklık açısından arttıkça, finansal kurumlar casusluk ve kâr odaklı siber suçların kesiştiği yerde faaliyet gösteren riskleri azaltmak için sağlam siber güvenlik önlemlerine öncelik vermelidir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here