Palo Alto Networks birimi 42, Siber Salın Grubu, dağınık örümcek veya UNC3944 olarak da bilinen çamurlu Terazi olarak izlendi.
Kasım 2024’te beş şüpheli üyeye karşı federal suçlamalara rağmen, grup devlet, perakende, sigorta ve havacılık da dahil olmak üzere sektörler arasında saldırı operasyonlarını artırdı.
Ünite 42’nin olay müdahale bilgileri, çamurlu Terazi’nin daha hızlı, daha etkili ihlaller elde etmek için ticari aracını rafine ettiğini ve genellikle Vishing (ses tabanlı kimlik avı) gibi sosyal mühendislik tekniklerini hedef çağrı merkezlerini ve dış kaynaklı iş süreç organizasyonlarına (BPO) veya yönetilen hizmet sağlayıcılara (MSP) kullandığını ortaya koyuyor.
Bu evrim, kötü amaçlı yazılım bağımlılığını en aza indirir, bunun yerine mağdurların ilk erişim, kalıcılık ve pessfiltrasyon için kendi altyapısını kullanır.
Grubun demografik profili, psikolojik manipülasyon konusunda usta genç, teknoloji meraklısı aktörler, çalışanları yardım masası etkileşimleri yoluyla şifreleri ve çok faktörlü kimlik doğrulama (MFA) sıfırlama için taklit eder.
Dikkate değer bir zaman çizelgesinde, saldırganlar, 42. 2025 küresel olay müdahale raporunda belgelendiği gibi, 40 dakikadan az bir sürede, ilk vishing kaynaklı alan yöneticisi ayrıcalıklarına erişimden döndüler ve ortalama saldırı süresini bir günden biraz daha kısa bir süre kısaltır.
Hızlandırılmış müdahaleler
Muddlu Terazi’nin 2025 operasyonu, kullanıcıları veya BT personelini taklit etmek için Google Voice VoIP hizmetlerini kullanan vishing girişimlerinin% 70’inden fazlası ile geleneksel smaçma veya kimlik avı üzerindeki doğrudan insan katılımına yönelik bir kaymayı vurgulamaktadır.
Bu taktik yardım masası empatisi üzerine avlar, kimlik bilgisi sıfırlamalarını ve uzaktan yönetim aracı kurulumlarını etkinleştirmek için kimlik doğrulama kontrollerini atlar.
İçeri girdikten sonra grup, kalıcılık için uzaktan izleme ve yönetim (RMM) araçları kullanır, yanal hareket için uç nokta algılama ve yanıt (EDR) platformlarını, hipervisörleri ve bulut yönetim sistemlerini hedefler ve NTDS.DIT dosyalarından veya şifre tonozlarından Active Director’u tehlikeye atmak için döküm.
Koleksiyon, Microsoft 365 ve SharePoint aracılığıyla keşif içerirken, verileri bulut depolama hizmetlerine, bazen doğrudan kurban ortamlarından bulut depolama hizmetlerine yönlendirir.
Önemli bir yükseliş, Nisan 2025’ten bu yana Dragonforce (Slippery Scorpius tarafından işletilen) gibi programlarla ortaklık yapan fidye yazılımı (RAAS) modellerinin benimsenmesidir ve bir durumda iki günde 100 GB üzerinde hızlı veri pessfiltrasyonunu ve ardından şifreleme ve gasp izlemesidir.
Mağdur, sektörler içinde kümelenmiş hedeflemeyi göstermektedir, ancak endüstriler arası saldırılar aynı anda meydana gelir ve grubun erişimini ve etkisini artırır.
Ünite 42, Microsoft Entra kimliğinde yanlış yapılandırılmış koşullu erişim politikalarının (CAPS) bu müdahaleleri hızlandırırken, yönetilmeyen cihazları kısıtlayan, şirket içi MFA, jeoblocking kimlik doğrulamacılarını zorlayan veya VPN/VDI erişim için MFA’yı zorlamayı, önemli ölçüde ilerlemeye izin verdiğini, içerme süresini önemli ölçüde izin verdiğini not eder.
Savunma önlemleri
Terazi Terazi’nin bulut ilk zihniyetine ve sosyal mühendislik becerisine karşı koymak için Ünite 42, BT destek personeli için istihbarat odaklı farkındalık eğitimi, video veya denetleyici doğrulama ile titiz MFA sıfırlama prosedürlerini ve onaylanmamış RMM ve dosya paylaşım trafiğinin uygulama ID tabanlı engellemesinin yanı sıra en az ayrıcalık prensiplerinin uygulanmasını önerir.
Tespit stratejileri, IAM değişikliklerinin izlenmesi, anormallikler için bulut kaydı ve şüpheli çağrı merkezi faaliyetlerinin izlenmesini içerir.
Tutulma için kuruluşlar, ESXI ana bilgisayarları gibi sanal kaynakları bölümlere ayırmalı ve tehlikeye atılan araçları engellemek için bant dışı iletişim kanallarını uygulamalıdır.
İleriye baktığımızda, birim 42, çamurlu Terazi’nin vishing istismarlarında devam edeceğine, izin veren kimlikleri kötüye kullanmaya ve Akira, Alphv, Play, Qilin ve Ransomhub gibi Raas iştirakleriyle birlikte akıcı para kazanma için işbirliği yapacağına dair yüksek bir güvenle değerlendirir.
Son İngiltere tutuklamaları gibi gelişmiş bilgi paylaşımı ve kolluk eylemleri operasyonları caydırabilir, ancak toplu siber güvenlik çabaları şarttır.
Palo Alto Networks ‘Cortex XSIAM, XDR, Gelişmiş URL filtreleme ve DNS Güvenliği, ilişkili C2 altyapısına karşı sağlam savunmalar sağlar. Uzlaşmadan şüphelenen kuruluşlar, Unit 42’nin olay müdahale ekibine derhal başvurmalıdır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!