Fidye yazılımı grubu SCATTERED SPIDER, çalınan kimlik bilgileri, SIM kart değişimleri ve bulut tabanlı araçlar kullanarak sigorta ve finans kuruluşlarını hedef almak için bulut altyapısı ve sosyal mühendislikten yararlanıyor ve kurbanları kandırmak için çalışanları taklit ederek erişim elde ediyor ve erişimi sürdürüyor.
BlackCat ile olan ortaklıkları, Batılı iş uygulamalarını anlamaları nedeniyle Batılı kuruluşları hedefleme yeteneklerini artırdı.
Şirket ağlarına yetkisiz erişim elde etmek için sıklıkla sızdırılan bulut kimlik doğrulama belirteçlerini kullanır; bu belirteçler genellikle kamuya açık depolarında yanlışlıkla ifşa edilir ve saldırganlara bulut altyapısına yönelik saldırılarını otomatikleştirme ve ölçeklendirme olanağı sağlar.
Microsoft Entra ID ve AWS EC2 gibi bulut hizmetlerindeki yüksek ayrıcalıklı hesapları hedeflemek için kimlik avı ve smishing kampanyaları kullanıyor ve ayrıca SSO portallarını taklit eden kimlik avı sayfaları kullanarak Okta, ServiceNow ve VMware Workspace ONE gibi SaaS platformlarını hedef alıyor.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Smishing kampanyaları, kurbanları oturum açma kimlik bilgilerini çalmayı ve OTP’leri ele geçirmeyi amaçlayan kimlik avı web sitelerine yönlendiren kötü amaçlı bağlantılara tıklamaları için kandırmak amacıyla kullanılır.
Kimlik bilgisi hırsızları, kurbanların cihazlarından bulut hizmeti kimlik doğrulama belirteçlerini toplamak için SCATTERED SPIDER tarafından kullanılıyor. Daha sonra bu belirteçler yeraltı forumlarında satılıyor ve saldırganların AWS, Azure ve GCP gibi bulut kaynaklarına yetkisiz erişim sağlamalarına olanak tanıyor.
SCATTERED SPIDER, SaaS uygulamalarında MFA’yı atlatmak ve bulut altyapılarına erişim sağlamak için SIM takasını kullanıyor.
Tehdit aktörleri, tespit edilmekten kaçınmak ve verileri çalmak için yetkisiz sanal makineler oluşturuyor ve uzaktan komut yürütme ve veri aktarımı için meşru bulut araçlarını kötüye kullanıyor.
DaaS grubu olan Telecom Enemies, Gorilla Call Bot gibi kimlik avı kitleri ve araçları sunuyor. SCATTERED SPIDER üyeleri, hizmetlerini kötü amaçlı faaliyetler için kullanıyor ve Coinbase ve Gmail gibi çeşitli hizmetleri hedef alıyor.
Telecom Enemies’in araçları Telegram’da yaygın olarak tanıtılıyor ve yeraltı forumlarında satılıyor. Üyeler, web uygulaması istismarı, ağ sızması ve kötü amaçlı yazılım geliştirme konusunda uzmanlaşıyor.
Bulut ortamlarından bilgi toplamak için açık kaynaklı araçlar kullanarak, değerli verileri belirlemeyi, ek hesapları tehlikeye atmayı, ayrıcalıkları yükseltmeyi ve ağ üzerinde yatay olarak hareket etmeyi amaçlayan Active Directory ve Microsoft 365’e odaklanıyor.
Saldırganlar parola yönetim araçlarını, ağ mimarisini, VDI/VPN yapılandırmalarını, PAM çözümlerini, personel bilgilerini, üçüncü taraf verilerini ve gasp ile ilgili verileri hedef alıyor.
Microsoft Entra ID ortamlarında kalıcı erişimi sürdürmek için Çapraz Kiracı Senkronizasyonu (CTS) ve federasyon kimlik sağlayıcılarından yararlanır.
Saldırganlar, CTS’yi yapılandırmak ve kötü amaçlı federasyon etki alanları oluşturmak için ayrıcalıklı hesapları tehlikeye atıyor, bu da onların kötü amaçlı hesaplar sağlamalarına ve sahte kimlik doğrulama belirteçleri üretmelerine olanak tanıyor.
EclecticIQ’ya göre, uzak bağlantılar kurmak ve ağ savunmalarını aşmak için RMM araçları ve protokol tünellemeyi de kullanıyorlar.
DAĞINIK ÖRÜMCEK, tespit edilmekten kaçınmak ve güvenlik önlemlerini devre dışı bırakmak için çeşitli teknikler kullanır; bunlar arasında yerleşimsel proxy’ler kullanmak, güvenlik araçlarını devre dışı bırakmak, sanal makineler oluşturmak ve bulut kimlik sistemlerini istismar etmek yer alır.
VMware ESXi ve Azure’u hedef alan otomatik betikler kullanmak, verileri şifrelemeden önce kök parolalarını değiştirerek ve araçları devre dışı bırakarak güvenliği tehlikeye atar.
Kuruluşlar kimlik doğrulamayı güçlendirerek, şüpheli faaliyetleri yakından izleyerek ve kapsamlı bulut güvenlik önlemleri uygulayarak riskleri azaltabilir.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin