Haziran 2024 ile Aralık 2025 arasında Fortra analistleri, artık Komut Dosyalı Sparrow olarak sınıflandırdığımız kalıcı bir iş e-postası ihlali (BEC) operasyonunu izledi. Grup, finans ekiplerini dolandırıcıların hesaplarına para aktarma konusunda yanıltmak için profesyonel hizmet firmaları görünümüne bürünen, iyi hazırlanmış, yüksek hedefli kimlik avı kampanyaları yürütüyor.
Bununla birlikte, geleneksel BEC aktörlerinin aksine, Scripted Sparrow yapılandırılmış, tutarlı ve disiplinli bir yaklaşım kullanır. Her kampanya, nasıl araştırma yaptıklarını, tanıdık bir üslupla tutarlı bir dil kullandıklarını ve onay sınırlarının hemen altında kalan ödeme tutarlarını nasıl seçtiklerini gösteriyor.
Bu makale bu grupla ilişkili taktikleri, altyapıyı ve davranışsal işaretleri özetlemektedir.
Kampanyaya genel bakış
Scripted Sparrow ilk olarak Haziran 2024’te radarda göründü. Kuzey Amerika ve Avrupa’daki şirketlerin gelen kutularında çok sayıda sahte fatura ortaya çıktı; alıcılar, mesajların ikna edici derecede gerçek göründüğünü ve vadesi geçmiş danışmanlık veya koçluk ücretleri için uydurma yönetici onaylarıyla tamamlandığını bildirdi.
Güvenilirliğini artırmak için aktörler, bir şirket yöneticisinin ödemeye izin verdiğini ve koçluk şirketindeki tahsilat temsilcisine mağdur şirketteki belirli bir alacak hesapları personeliyle iletişime geçmesi talimatını verdiğini göstermek için bir önceki yazışma zincirini ve sahte bir e-posta izini ekledi.
2025’in başlarında telemetrimiz çeşitli sektörlerde tekrarlanan gözlemleri doğruladı. O zamandan beri 512 benzersiz çeşidi katalogladık.
Scripted Sparrow’un kampanyaları genellikle nispeten mütevazı hacimler içeriyor. Grubun günde 10.000 ile 50.000 arasında e-posta gönderdiğini ve bunların küçük, hedefli gruplar halinde dağıtıldığını tahmin ediyoruz. Bu hacim, ticari e-posta tehditleriyle karşılaştırıldığında küçük görünse de, diğer hedefli saldırılarla karşılaştırıldığında aslında çok büyüktür.
Operasyonel Başucu Kitabı
Scripted Sparrow, bir grup fırsatçıdan ziyade, araştırma, alan adı oluşturma, e-posta geliştirme ve finansal koordinasyon konularında tanımlanmış rollere sahip, yapılandırılmış bir organizasyon olarak çalışır.
Her kampanya tanınabilir bir iş akışını izler:
Keşif ve etki alanı kurulumu: Grup, bilinen firmalara benzeyen benzer alan adlarını kaydeder (teneo-strategyy.com, vistageglobal.co gibi). Bu alanlar genellikle 24 saatlik bir pencerede kümelere kaydedilir ve gizlilik korumalı WHOIS verilerini kullanır.
E-posta işçiliği: Grubun mesajları hayali şirketlere (Catalyst Executive Circle veya Vistage Global Consulting gibi) atıfta bulunuyor ve yöneticiler arasındaki dahili onayları taklit ediyor. Sahte e-posta dizileri, inandırıcılığı korumak için tutarlı cümle kalıpları ve kibar, acil olmayan ifadeler gösterir.
Teslimat ve ödeme talebi: Ekteki fatura PDF veya W-9 formunda, toplamlar standart manuel onay sınırlarının hemen altında (50.000 ABD Doları’nın altında) listelenmektedir. Alıcılara, suçluların kontrol ettiği bir hesaba para aktarmaları talimatı veriliyor.
Nakit çıkışı: Grup, ilk transfer için ABD merkezli geniş bir katır hesapları koleksiyonunu kullanıyor. Bu yazının yazıldığı an itibarıyla Scripted Sparrow tarafından kullanılan 249 benzersiz banka hesabı tespit ettik. Grup bir avuç bankayı tercih ediyor gibi görünse de 42 farklı finans kurumunda hesap kullandıklarını gördük.
Grubun teknik gelişmişliği düşük olsa da kampanyaları biçimlendirme, dosya yapısı ve dil açısından iç tutarlılık sergiliyor.
Altyapı ve coğrafi göstergeler
Analizimiz bölgelere yayılmış bir gruba işaret ediyor. E-postalarının çoğu ABD IP adreslerinden geliyor gibi görünüyor, ancak bu bir yanılgıdır.
Gerçek konumlarına yaklaşmak için kötü oyuncularla görüştük. Ödeme onayı talep ettiklerinde, tarayıcı parmak izlerini yakalayan ve konum izinlerini isteyen kontrollü dosya paylaşım hizmetlerine yönlendirildiler. Bu veriler, saat dilimi ayarları ve bağlantı düzenleriyle birleştiğinde analistlerimizin Nijerya, Güney Afrika, İran ve Türkiye’deki olası operatörleri belirlemesine yardımcı oldu. Ekibimiz grubun ABD, İngiltere ve Kanada’da da üyelerinin olduğuna inanıyor, ancak grubun izlerini gizlemek için kullandığı çeşitli karşı önlemler nedeniyle güveni daha düşük.
Etki alanı kümeleri genellikle barındırma sağlayıcılarını ve kayıt zaman çizelgelerini paylaşır ve bu da koordineli altyapı yönetimine işaret eder. Ayrıca bankacılık faaliyetleri kampanyalar arasında örtüşüyor ve bu da ortak bir aklama ağının varlığına işaret ediyor.
Öyle olsa bile, atıf geçici olmaya devam ediyor. IP adresleri ve finansal izler kolayca maskelenebilir; dolayısıyla bu bulgular, kesin aktör kökenlerinden ziyade olası bölgeleri öne sürüyor.
Davranış özellikleri
Scripted Sparrow şirketlerin nasıl iletişim kurduğu konusunda uzmandır. E-postaları dahili tonu, formatı ve ritmi taklit eder. “Yöneticilerden” gelen mesajlar, şüphe uyandırmayacak kadar incelikli bir aciliyetle, resmi ama sohbet havasındadır.
Bazı dilsel tuhaflıklar tekrar tekrar ortaya çıkıyor: “Hızlı ilginiz için teşekkür ederiz” gibi kibar imzalar, Avrupalı firmaları hedef alan e-postalarda bile tutarlı ABD tarzı tarih formatı ve tamamı gizleme veya izleme pikselleri olmadan hazırlanmış, mesajların gerçekmiş gibi görünmesini sağlayan düzenli HTML düzenleri.
Faaliyetin evrimi
Scripted Sparrow, 2024’ün başlarından bu yana çalışma biçiminde küçük ama gözle görülür değişiklikler gösterdi:
- Fatura tasarımı güncellemeleri: Yazı tipleri, logolar ve markalama, meşru firmalara daha yakından benzeyecek şekilde ayarlandı.
- Kimliğin yeniden kullanımı: Sahte kişiler ve şirket adlarının kampanyalar boyunca yeniden ortaya çıkması, paylaşılan şablonların veya dahili stil kılavuzlarının ipucunu veriyor.
- Altyapı geri dönüşümü: Alan adları genellikle aylar sonra küçük değişikliklerle yeniden ortaya çıkar; bu da rastgele yeniden kullanım yerine kasıtlı bir rotasyonu yansıtır.
Daha da önemlisi, grup nadiren ayrıcalık yükseltme veya veri hırsızlığı girişiminde bulunuyor. Odak noktaları açık ve tutarlı olmaya devam ediyor: Hedefleri gerçek finansal transferler yapmaya itmek için sosyal mühendisliği kullanmak.
Tespit ve ilişkilendirme
Savunma açısından bakıldığında, bu harekâtın inceliği tespitleri bulanıklaştırıyor. Kötü amaçlı yazılım yükü, bağlantı kısaltıcı veya kimlik bilgisi toplama formu yoktur; yalnızca bir PDF eki ve ikna edici bir hikaye vardır.
Tespit sistemlerimiz şu konulardaki anormallikleri işaretledi:
- Bildirilen gönderen alan adlarıyla tutarsız olan başlık yönlendirme yolları.
- Hızlı, kümelenmiş oluşturmayı gösteren alan adı kayıt zaman damgaları.
- Mesajlarda tekrarlanan şablonlara farklı sektörlerde rastlanıyor.
Fortra analistleri, bu sinyalleri kümelendirerek, şirket adlarının yüzeysel çeşitliliğine rağmen faaliyeti aynı operasyonel varlığa atfediyor.
Gözlemlenen TTP’ler
Bulgularımız, gizli kalmak için tanıdık iletişim kalıplarını, minimum altyapıyı ve tutarlı rutinleri kullanan, psikolojiye güvenen bir grup olduğunu gösteriyor.
Ekler aracılığıyla hedef odaklı kimlik avı: E-postalar, orijinal görünen ve kötü amaçlı kod içermeyen, gösterişli PDF faturalarıyla birlikte gelir. Amaç enfeksiyon değil, finans ekiplerini ödemeleri onaylamaya ikna etmek.
Keşif: Grup, her kampanyadan önce hedeflerini inceliyor, mesajların gerçekçi görünmesini sağlamak için şirket personeli ve onay süreçleri hakkında kamuya açık ayrıntıları topluyor.
Maskeleme ve taklit: Grup, tek bir harfle veya farklı bir üst düzey alan adı ile farklılık gösteren benzer alanlar kullanarak yöneticileri, danışmanları veya satıcıları taklit eder.
Şablonun yeniden kullanımı ve tutarlılığı: Şablonları nadiren değişir. Aynı ifade ve fatura formatları kampanyalarda yeniden ortaya çıkıyor ve tanımlama için güvenilir bir model sunuyor.
Alan adı ve hesap rotasyonu: Her e-posta dalgasında yeni alanlar ve banka hesapları kullanılır. Bunlardan biri tespit edildiğinde hızlı bir şekilde değiştirilerek aktivitenin engellenenler listelerinden bir adım önde tutulması sağlanır.
Ödeme manipülasyonu: Tutarlar, dahili kontrolleri aşmak ve işlemleri hızlandırmak için inceleme eşiklerinin hemen altında seyrediyor.
Bu tutarlı TTP’ler, devam eden, karlı bir planı sürdüren uyumlu bir aktör grubunun değerlendirmesini güçlendiriyor.
Azaltma ve müdahale önerileri
Scripted Sparrow’un yöntemleri basit olsa da başarıları tutarlılık ve zamanlamadan gelir.
Onların taktik kitaplarını anlamak işin yalnızca yarısıdır; Bir sonraki adım, kalıbın nasıl kırılacağını bilmektir. Şirketlere şunları tavsiye ediyoruz:
- Doğrulama protokollerini uygulayın: Yeni satıcı ödemeleri veya belirli bir eşiği aşan faturalar için ikincil onayı zorunlu kılın. Masraf onayının kanıtı olarak hiçbir zaman bir e-posta yanıt zincirine güvenmeyin; çünkü bu kolayca sahtekarlık yapılabilir.
- Etki alanı ve başlık anormalliklerini izleyin: Otomatik araçlar, eşleşmeyen alan adlarını, alışılmadık yanıt başlıklarını veya yeni alan adı kayıtlarını işaretlemelidir.
- Finans ekiplerini eğitin: Farkındalık eğitimi etkili olmaya devam ediyor. Dilsel tehlike işaretlerini vurgulayın ve doğrulama isteyin.
- Davranışsal analizlerden yararlanın: İletişim frekansı, zaman dilimleri ve gönderen-alıcı modellerindeki sapmaları izleyin.
Bu kontroller grubun birincil başarı koşulu olan doğrulanmamış güveni kesintiye uğratabilir. Kampanyanın tutarlılığı, gevşek bağlı kuruluşlar yerine birden fazla operatörü koordine eden merkezi bir yönetim yapısını akla getiriyor.