Google Tehdit İstihbarat Grubu (GTIG) geçtiğimiz günlerde, yaygın olarak yayınlanan dağınık örümcek ile örtüşen tanınmış hacker kolektif UNC3944’ün kalıcı ve dinamik bir siber telaş olduğunu ortaya koydu.
Başlangıçta SIM takas işlemleri için telekomünikasyona odaklanan UNC3944, o zamandan beri 2023’ün başından beri fidye yazılımı ve veri hırsızlığı gasp taktiklerine döndü ve endüstriler arasında daha geniş bir ağ oluşturdu.
2024’te kolluk eylemlerini takiben faaliyette kısa bir düşüşten sonra, grup geri tepiyor gibi görünüyor ve potansiyel olarak daha geniş bir suç ağıyla bağlar kazanıyor.
.png
)
En son faaliyetleri arasında İngiltere’deki perakende kuruluşları hedeflemek, Dragonforce Fidyeware’e olası bağlantılar, yakın zamanda UNC3944’ün daha önce bir bağlı olarak işletildiği yeniden canlanan Ransomhub fidye yazılımı (RAAS) platformuna bağlı.
İngilizce konuşan ulusları hedeflemek
UNC3944’ün Modus Operandi, sofistike sosyal mühendisliğe dayanır, genellikle BT personelini çalışanları çalışanları hassas bilgileri ifşa etmek veya kimlik bilgilerini sıfırlamak için kandırır.
Mağdurları, ABD, Kanada, İngiltere ve Avustralya gibi İngilizce konuşulan ülkelerdeki büyük işletmelere stratejik bir odaklanma ve Singapur ve Hindistan’da gelişmekte olan kampanyalarla stratejik bir odaklanıyor.
Grup, 2023’ün sonlarında finansal hizmetlere, Mayıs 2024’teki gıda hizmetlerine ve şimdi PERACTY Sektörlere ve finansal verilerin kazançlı hedefler oluşturduğu perakende sektörlerine özel olarak sektöre özgü saldırı dalgalarına sahiptir.
Son BBC News raporları, Potansiyel olarak UNC3944 ile bağlantılı olan Dragonforce operatörlerinin, veri sızıntı sitelerinde (DLS) perakende kurbanların 2025’te% 11’e yükseldiği bir eğilimi vurgulayan bir İngiliz perakendecisine yapılan saldırıların sorumluluğunu iddia ettiğini öne sürüyor.
Bu artış, grubun yüksek bahisli ortamlardan yararlanma niyetinin altını çizerek genellikle kurbanlara halka açık verilere maruz kalma veya operasyonel kesintiler yoluyla baskı yapıyor.
GTIG, UNC3944’ün büyük yardım masaları olan veya BT işlevleri olan kuruluşları sık sık hedeflediğini, bunları MFA yorgunluk saldırıları gibi taktikler ve Microsoft Teams gibi işbirliği araçları aracılığıyla taktikler aracılığıyla giriş noktaları olarak kullandığını belirtiyor.
Teknik taktikler
Teknik olarak, UNC3944, GTIG’nin Saldırı Yaşam Döngüsü analizinde detaylandırılan ve sosyal mühendislik yoluyla yanal hareket ve veri eksfiltrasyonuna ilk erişimi kapsayan bir dizi taktik, teknik ve prosedür (TTP) kullanır.
Kayıt süreçlerini manipüle ederek veya güvenilir yerlerden yararlanarak çok faktörlü kimlik doğrulamayı (MFA) atlamadaki yeterlilikleri özellikle endişe vericidir.
Buna karşı koymak için GTIG, kamera içi kimlik kontrolleri ve yüksek riskli değişiklikler için bant dışı onay dahil olmak üzere sağlam kimlik doğrulama protokolleri önerir ve SMS veya e-posta gibi savunmasız kimlik doğrulama yöntemlerinin aşamasını kaldırır.
Kuruluşlardan kimlik avına dirençli MFA’yı uygulamaya, güvenilir IP’lere idari erişimi kısıtlaması ve yetkisiz MFA cihaz kayıtları veya AdRecon gibi keşif araçları gibi anomalileri izlemeleri istenir.
Ağ segmentasyonu, çıkış trafiği kısıtlamaları ve yedekleme sistemleri gibi kritik altyapının izolasyonu, UNC3944’ün kalıcılık mekanizmalarını engellemek için de kritik öneme sahiptir.
Bulut ortamları için, arka kapı erişimini önlemek için yeni oluşturulan kaynaklar veya değiştirilmiş güvenlik kuralları üzerindeki uyanıklık esastır.
UNC3944, İngiltere perakende kampanyalarından sonra potansiyel olarak ABD varlıklarını hedefleyen hukuk sonrası uygulama aksaklıklarını uyarlamaya devam ettikçe, GTIG, bu finansal olarak motive edilen düşmanlara karşı temel bir savunma olarak kimlik ve altyapı boyunca proaktif sertleştirme-vurgulama görünürlüğünün aciliyetini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!