Siber suçlular, İran’ın önde gelen 23 sigorta firmasının ve İran’ın önde gelen çevrimiçi yemek siparişi hizmeti SnappFood’un sistemlerine girerek milyonlarca kullanıcı profilini boşalttı.
Sigortacıların sızıntısından örnek Kowsar, Atieh, Asia ve Alborz gibi sigorta şirketlerinin isimleri, telefonları, kimlik numaraları, adresleri, pasaport numaraları ve diğer hassas bilgileri içeriyordu. Güvenlik araştırmacıları Veri dökümünü keşfeden İsrail merkezli tehdit istihbaratı firması Hudson Rock, verilerin “gerçek gibi göründüğünü” doğruladı.
SnappFood Şiş
Sigorta şirketlerine yapılan saldırının ardından, “sızıntılar” (muhtemelen İran Sızıntılarını işaret ediyor) takma adı altında faaliyet gösteren saldırganlar, İran’ın önde gelen çevrimiçi yemek sipariş hizmeti SnappFood’un sistemlerine girdikleri ve 3 TB’lık depolama alanını sızdırdıklarını iddia ederek övündüler. son derece hassas veriler.
Bu verilerin 20 milyon kullanıcı profilinden (e-postalar, şifreler, telefon numaraları), 51 milyon kullanıcının adresinden ve 600.000 kredi kartı kaydından elde edilen verileri içerdiği söyleniyor.
Snappfood bir yayınladı tutanak beyanı bir gün sonra, “bu hack grubunun eylemlerinin neden olduğu kirliliğin kaynağını belirlemek ve ortadan kaldırmak” için yerel polis teşkilatlarıyla birlikte çalışıldığını söyledi.
StealC Bilgi Hırsızı
Hudson Rock araştırmacıları, büyük olasılıkla bir yazılım geliştiricisi olan Snappfood çalışanı tarafından kullanılan bir bilgisayara yakın zamanda StealC bilgi hırsızının bulaştığını belirledi. Saldırının kaynağı olduğu doğrulanmasa da kötü amaçlı yazılım, hassas verilerin çıkarılabileceği bir kanal oluşturdu.
Hudson Rock, blog yazısında şöyle açıkladı: “Bu çalışanın bilgisayarına virüs bulaşması, kuruluşun birçok hassas kimlik bilgilerinin bazı bilgisayar korsanlarının erişimine açılmasıyla sonuçlandı ve şirkete karşı ilk saldırı vektörü olarak kullanılmış olabilir.” “Verilerden bazıları şirketin Confluence sunucusuna, Jira sunucusuna ve geliştirmeyle ilgili diğer URL’lere giriş ayrıntılarını içeriyor.”
Hudson Rock’a göre ikiz saldırıların ardındaki nedenler belirsizliğini koruyor ancak ikinci dereceden kanıtlar kâr odaklı siber suçlardan ziyade siber casusluğa işaret ediyor.
“Önde gelen şirketlerin ihlallere yoğun katılımı, dikkatle seçilmiş örnekler ve tehdit aktörünün hesabının forumda yeni olması göz önüne alındığında, bunun İran’da iç kaos yaratmayı amaçlayan devlet destekli bir saldırı olması muhtemel görünüyor” diyor Alon Gal, Hudson Rock’ın CTO’su. “Ancak onun İran’daki birden fazla kuruluşa ustaca sızmış sofistike bir tehdit aktörü olması da akla yatkın.”
İçeriden Hata mı?
İlk StealC enfeksiyonunun en olası nedeni, Snappfood’daki bir yazılım geliştiricisinin, önceki benzer saldırılarda olduğu gibi, kötü amaçlı yazılım bulaşmış bir yazılım paketini indirmesinden kaynaklandı. Ancak bu henüz doğrulanmadı ve bir tür hedef odaklı kimlik avı saldırısı veya başka bilinmeyen bir vektör bunun sorumlusu olabilir.
Hudson Rock’tan Gal şöyle açıkladı: “SnappFood’ta bir çalışana bulaşan StealC tipi bilgi hırsızı, saldırıda kullanılmış olabilecek olası bir ilk saldırı vektörüdür, ancak bunu kesin olarak bilemiyoruz.” “Tehdit aktörleri genellikle bilgi hırsızları tarafından çalınan kurumsal kimlik bilgilerinden yararlanıyor ve SnappFood’un ele geçirdiği bu çalışan Hudson Rock vakasında, kuruluşa karşı kullanılabilecek birçok hassas kimlik bilgisini tespit etti.”
StealC’nin sahip olduğu Kötü amaçlı yazılım yayan kampanyalarda öne çıkıyor mümkün olduğu kadar çok bilgisayara virüs bulaştırmak isteyen siber suçlular tarafından. Bu gruplar (bazen şu şekilde bilinir) ilk erişim aracıları) ele geçirilen kimlik bilgilerini, uzmanlığı kritik kimlik bilgilerini belirleme ve fidye yazılımı saldırıları, siber saldırılar ve hesap ele geçirmeleri gerçekleştirmek üzere kuruluşlara sızma konusunda uzman olan daha deneyimli tehdit aktörlerine yeniden satar.