Ortak Uluslararası Danışmanlık Gelişen Sosyal Mühendislik Taktikleri ve Yeni Dragonforce Fidye Yazılımı Dağıtımında Ticari Tesisleri Hedefleme
Uluslararası siber güvenlik ajanslarının bir işbirliği, 29 Temmuz 2025’te, giderek daha karmaşık taktikler ve yeni ransom takvimi varyantlarına sahip kritik altyapı ve ticari tesis sektörlerine karşı yoğun saldırıları yoğunlaştıran dağınık örümcek siber suçlu grubunun ortaya koyduğu artan tehdidi vurgulayan acil bir güncellenmiş danışmanlık yayınladı.
Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Avustralya Sinyalleri Müdürlüğünün Avustralya Siber Güvenlik Merkezi (ACSC), Avustralya Federal Polis (AFP), Cyber Güvenlik Merkezi (Krallık Krallığı (Krallık Krallığı) ve Birleşik Krallık Merkezi (Canaddom) tarafından yayınlanan Ortak Danışma Haziran 2025’e kadar FBI soruşturmaları yoluyla elde edilen taktikler, teknikler ve prosedürler (TTP’ler).
Dağınık örümcek, UNC3944 olarak da bilinen Scatter Swine, Oktapus, Octo Tempest, Storm-0875 ve Muddlu Terazi, danışmanlık başlangıçta Kasım 2023’te yayınlandığından beri önemli ölçüde gelişti.
Öncelikle Amerika Birleşik Devletleri, İngiltere ve Kanada’dan faaliyet gösterdiğine inanılan anadili İngilizce konuşanlardan oluşan grup, büyük işletmeleri hedefleyen en sofistike sosyal mühendislik operasyonlarından biri haline gelmiştir.
“Dağınık örümcek tehdidi aktörleri tipik olarak gasp için veri hırsızlığı yapıyor ve ayrıca en son Dragonforce fidye yazılımlarını her zamanki TTP’lerinin yanında dağıtıyor” diyor. “Bazı TTP’ler tutarlı kalırken, dağınık örümcek tehdidi aktörleri genellikle tespit edilmemek için TTP’leri değiştirir.”
Grubun ayırt edici özelliği, giderek daha fazla rafine hale gelen sofistike sosyal mühendislik yetenekleri olmaya devam ediyor. Personelin çalışanları hedeflemesine yardımcı olan geleneksel siber suçluların aksine, dağınık örümcek şimdi bu yaklaşımı tersine çevirdi, çalışanları üçüncü tarafı ikna etmek ve yardım masası personelini hassas bilgiler sağlamaya, şifreleri sıfırlamaya ve çok faktörlü kimlik doğrulama (MFA) tokenleri saldırgan kontrollere aktarmaya aktarmaya yöneltti.
| Dağınık örümcek tarafından kullanılan alanlar | Amaç |
|---|---|
| Targetsname-sso[.]com | SSO kimlik bilgileri için kimlik avı |
| TargetsName-Sergilicedesk[.]com | Kimlik avı/dolandırma veya yardım masası |
| TargetsName-Okta[.]com | Kimlik Bilgisi Hasat Hedefleme OKTA SSO |
| Targetsname-cms[.]com (yeni) | Son Kimlik Avı/Spearphishing Kampanyaları |
| TargetsName-Helpdesk[.]com (yeni) | Bu/yardım masası taklit etme |
| Oktalogin-MargetCompany[.]com (yeni) | OKTA/SSO kimlik bilgileri için kimlik avı |
Grup, “push bombalama” (erişimi onaylayana kadar MFA bildirimleri olan ezici kullanıcılar), abone kimlik modülü (SIM) telefon numaralarını ele geçirmeye ve sosyal medyadan toplanan kişisel bilgiler, açık kaynak zekası ve ticari istihbarat araçları ile zenginleştirilmiş ayrıntılı kama kampanyaları dahil olmak üzere birden fazla saldırı vektörü kullanır.
| Dağınık örümcek tarafından kullanılan kötü amaçlı yazılım | Açıklama / İşlev |
|---|---|
| Avemaria (Warzone) | Uzaktan erişim Trojan (sıçan); mağdur sistemlerine uzaktan erişim sağlar |
| Rakun Stealer | Stealer kötü amaçlı yazılım; Kimlik bilgilerini, çerezleri, tarayıcı geçmişini hedefler |
| Vidar çalıyor | Stealer kötü amaçlı yazılım; Kimlik bilgileri, tarayıcı verileri, çerezler |
| Ratirat (yeni, Temmuz 2025 itibariyle) | Java bazlı sıçan; kalıcı, gizli iç keşif |
| Dragonforce fidye yazılımı (yeni) | Dosyaları/Sistemleri (ESXI dahil) şifreler; Veri Gasp |
Kuşatma altında ESXI Altyapı
En önemlisi, sanallaştırılmış ortamlar için kritik altyapı görevi gören VMware ESXI hipervizörlerine son zamanlarda dağılmış olan Delled Spider’ın odaklanmasıdır.
Danışmanlığa göre, grubun, tüm sanal makine altyapılarını minimum çaba sarf etmelerini sağlayan bir taktik olan Dragonforce fidye yazılımını kullanarak VMware ESXI sunucularını şifrelemesi gözlemlenmiştir.
Grubun ESXI ortamlarına yönelik saldırıları hesaplanan bir modeli takip eder: sosyal mühendislik yoluyla ilk erişim, idari kontrol kazanmak için ayrıcalık artışı, uzaktan izleme araçlarının dağıtılması ve son olarak, çekirdek dizinleri ve yapımcıları şifreleyen fidye yazılımı yürütme.
Son araştırmalar, dağınık örümceğin hedeflemesini, erişim üzerine binlerce sorgu çalıştırarak büyük miktarda veri hacmini hızlı bir şekilde ekleyebileceği kar tanesi bulut ortamlarını içerecek şekilde genişlettiğini ortaya koyuyor.
Grup ayrıca güvenlik müdahalesi çabalarını izlemek ve hatta güvenlik ekiplerinin nasıl avlandığını anlamak için olay müdahale çağrılarına katılmak için Slack, Microsoft Teams ve Exchange gibi sızan şirket iletişim platformları da gözlemlendi.
Kalıcılığı korumak ve tespitten kaçınmak için grup, sahte sosyal medya profilleri tarafından desteklenen hayali kimlikler yaratır, proxy ağları kullanır ve sıklıkla makine adlarını döndürür. Ayrıca, mega.nz ve Amazon S3 gibi ABD tabanlı veri merkezleri dahil olmak üzere birçok konuma verilerin verildiği gözlemlenmiştir.
Yazarlık ajansları, kuruluşların kimliğe dayanıklı çok faktörlü kimlik doğrulama uygulamasını, kaynak sistemlerinden ayrı olarak depolanan çevrimdışı yedeklemeleri korumasını ve yazılım yürütmesini yönetmek için uygulama kontrollerini dağıtmasını şiddetle tavsiye eder. Kuruluşlar ayrıca “riskli girişler” ve yetkisiz hesap kötüye kullanımı için izlemeyi geliştirmelidir.
Dağınık Spider’ın saldırıları yüz milyonlarca hasar ve taktikleri gelişmeye devam ederek, güncellenmiş danışmanlık, günümüzün en sofistike siber suçlu operasyonlarından birine karşı savunmak isteyen kuruluşlar için kritik bir kaynak görevi görüyor.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches