Siber güvenlik uzmanları tarafından yapılan son analizlere göre, siber suçlular BT destek personeli ve güvenilir yetkilileri kurbanları kritik sistemlere erişim sağlamak için manipüle etmek için giderek daha fazla taklit ediyor.
Bu taktik, doğal insan eğilimlerini algılanan otorite figürlerine erteleme eğilimlerinden yararlanır ve saldırganların psikolojik güvenlik açıklarından yararlanarak teknik savunmaları atlamasını sağlar.
Vardiya, kuruluşları tehlikeye atmak için teknik istismarları davranışsal manipülasyonla harmanlayan sosyal mühendislik kampanyalarının artan sofistike olmasının altını çiziyor.
.png
)
Otorite önyargısı-algılanan uzmanlık pozisyonlarındaki bireylerden gelen talimatlara uyma eğilimi, modern siber saldırıların temel taşı haline gelir.
Tehdit aktörleri, hedefleri uzaktan erişim araçları kurmaya veya hassas kimlik bilgilerini ifşa etmeye ikna etmek için personel, vergi yetkilileri veya bankacılık temsilcilerini desteklediği için maskelenir.
Cisco Talos’un olay yanıtı Üç Aylık Trendler Raporu, bu yaklaşımı kullanarak fidye yazılımı gruplarında bir artışı vurgular ve BT profesyonellerinin “acil sorunları çözmek” için kurbanlarla iletişim kurar.
Mağdurlar AnyDesk veya TeamViewer gibi araçlar aracılığıyla erişim sağladıktan sonra, saldırganlar veri açığa çıkması, yanal hareket veya fidye yazılımı dağıtım için kalıcı panolar oluştururlar.
Bu strateji, kuruluşlar tarafından zaten güvenen meşru yazılımlara dayanarak geleneksel kötü amaçlı yazılım algılama mekanizmalarını bağlar.
Örneğin, çift kullanımlı uzaktan yönetim araçları kurumsal ortamlarda her yerde bulunur, bu da güvenlik ekiplerinin kötü niyetli etkinlikleri rutin işlemlerden ayırmasını zorlaştırır.
Saldırganlar ayrıca, 2024’ten bu yana işletme e-posta uzlaşma (BEC) olaylarında% 37 artışa yol açan resmi telefon numaralarını, e-posta alanlarını veya çalışan kimliklerini taklit ederek güvenilirliği artırıyor.
Lolbin döneminde tehdit avı
Yaşam-Off-Live-Off İkili dosyalarının (Lolbins) çoğalması, savunucuları gelişmiş tehdit avlama metodolojilerini benimsemeye zorladı.
Saldırganlar, kötü amaçlı yükler yürütmek için PowerShell, WMI ve Psexec gibi önceden yüklenen sistem araçlarını giderek daha fazla kullanıyor ve kolayca tespit edilebilir özel kötü amaçlı yazılımlara güveniyor.
Talos IR’nin çerçevesi, olağandışı işlem ağaçlarının, beklenmedik ağ bağlantılarının veya temel kullanıcı davranışından sapmaları tanımlamak gibi anomali tespitini vurgular.
Etkili bir taktik, meşru yürütülebilir ürünlerde atipik komut-satır argümanlarının izlenmesini içerir.
Örneğin, Talos tarafından analiz edilen yakın tarihli bir kampanya, Windows Management Enstrümantasyon (WMI) hizmetini, kobalt grev işaretlerini dağıtan görevleri planlamak için kötüye kullandı.
Süreç oluşturma olayları ve ağ kütükleri tehdit avcıları gibi telemetri verilerini ilişkilendirerek, normal idari işlemler arasında kötü niyetli WMI aktivitesini izole eder.
Benzer şekilde, kalıcılık mekanizmaları (örneğin beklenmedik çalışma anahtarları) için kayıt defteri değişikliklerinin analiz edilmesi, gizli tehditlerin ortaya çıkarılmasında kritik kanıtlanmıştır.
Kuruluşlara otomatik algılama kurallarını manuel soruşturmalarla birleştirmeleri tavsiye edilir.
Örneğin, geliştirme sunucularından giden DNS trafiğindeki ani artışlar, Mimikatz gibi araçlar aracılığıyla kimlik bilgisi hırsızlığı girişimlerini gösterebilir.
Bu arada, bellek adli tıp, disk yazmalarını önleyen söz konusu olmayan kötü amaçlı yazılımları tespit etmek için hayati önem taşır.
Tehdit manzarasını genişleten
Son olaylar bu taktiklerin ölçeklenebilirliğini göstermektedir. Mayıs 2025’te California’da yaşayan Jason Miller, Disney’in gevşek kanallarından 1.1 TB veriyi ortadan kaldıran bir kötü amaçlı yazılım kampanyasını düzenlemekten suçlu bulundu.
Saldırı, uzaktan erişim truva atlarını (sıçanlar) dağıtmak için truva atlı bir AI sanat jeneratörü kullandı ve dahili iletişimlere yetkisiz erişim sağladı.
Miller’ın tutuklanması, kötü amaçlı yazılımları kurumsal ödeme sistemlerini hedefleyen finansal dolandırıcılık planlarına bağlayan ortak bir FBI-CISA soruşturması izledi.
Bu arada, Dragonforce Fidye Yazılım Grubu, İngiltere perakendecilerinin kooperatifi, Harrods ve Marks & Spencer’a karşı yıkıcı saldırılardan sorumlu olduğunu iddia etti.
Grup, satış noktası (POS) sistemlerindeki işlemsiz güvenlik açıklarından yararlandı, işlem veritabanlarını şifreledi ve Monero’da 8,7 milyon dolar talep etti.
Aynı zamanda, Dark Reading, API anahtarları ve bulut kimlik bilgileri gibi maruz kalan geliştirici sırlarını hedefleyen saldırılarda yıllık% 52’lik bir artış olduğunu bildirdi.
Saldırganlar, bu jetonları hasat etmek için halka açık depoları tarar ve yanlış yapılandırılmış devOps ortamları, yanal hareketi üretim ağlarına kolaylaştırır.
Talos telemetri ayrıca dört yaygın kötü amaçlı yazılım varyantı da tanımladı:
- Vid001.exe (Win.worm.Bitmin olarak tespit edilir): Yayılma için SMB güvenlik açıklarından yararlanan kimlik avı ekleri yoluyla yayılan bir solucan.
- img001.exe: Kripto para madencilerini tehlikeye atılan WordPress siteleri aracılığıyla dağıtan bir indirici.
- Aact.exe: Tarayıcı geçmişlerini ve çerezlerini açıklayan arka kapıları dağıtan sahte bir yazılım aktivatörü.
Değişen bir savaş alanı için azaltma stratejileri
Bu tehditlere karşı koymak için kuruluşlar kullanıcı eğitimine ve çok katmanlı kimlik doğrulamaya öncelik vermelidir.
Cisco Talos, resmi kanallar aracılığıyla ikincil onay gerektiren istenmeyen BT destek talepleri için katı doğrulama protokollerinin uygulanmasını önerir.
Ağ segmentasyonu ve uygulama izin listesi yanal hareketi sınırlayabilirken, lolbin kötüye kullanımı için sürekli izleme kritiktir.
Saldırganlar taktiklerini geliştirdikçe, siber güvenlik topluluğu istihbarat paylaşarak ve davranışsal analitik modelleri geliştirerek uyum sağlamalıdır.
Teknik sömürü ve psikolojik manipülasyon arasındaki çizgi, hem insan hem de makine seviyelerinde uyanıklık talep ederek bulanıklaşmaya devam edecektir.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir