Siber güvenlik firması Eclecticiq tarafından tehdit avcılarıyla işbirliği içinde yapılan yeni bir soruşturma, Luna Güve Hacking Grubuna bağlı kötü niyetli etkinliklerde bir artış gösterdi.
Aktörler artık meşru işletmeleri taklit etmek ve hassas verileri çalmak için sahte yardım masası temalı alanlardan yararlanıyorlar. İlk olarak Mart 2025’te tespit edilen bu kampanya, öncelikle hukuk firmalarını ve kurumsal kuruluşları hedeflemektedir.
Saldırı nasıl çalışır
Luna Güve’nin stratejisi, iç BT destek portallarını taklit etmek için tasarlanmış ikna edici benzer alanlar yaratmaya bağlıdır.
.png
)
Örneğin, “Vorys” adlı bir şirket, Vorys-Helpdesk gibi bir alan ile hedeflenebilir[.]com. Bilgisayar korsanları daha sonra kurbanları, giriş kimlik bilgilerinin veya finansal verilerin hasat edildiği bu alanlara yönlendirmek için kimlik avı e -postaları veya tehlikeye atılmış hesaplar kullanır.
Hileli alanların temel özellikleri şunlardır:
- Adlandırma sözleşmeleri: Alanlar genellikle Regex desenini takip eder ^[a-z]{1,}-Yardım (masa) {0,1} .com $, hedefin adını “Yardım” veya “Yardım Masası” ile birleştirerek.
- Kayıt Desenleri: Godaddy şu anda en sık kullanılan kayıt şirketidir, ancak diğer sağlayıcılar da dahil olabilir.
- NameServer altyapısı: Alan adları genellikle DomainControl’den geçer[.]com, ortak bir NameServer sağlayıcısı.
Adım adım kılavuz
Eclecticiq’in araştırmacıları, kampanyaya bağlı şüpheli alanları tanımlamak için bir yöntem paylaştılar:
1. Etki alanı deseni: Match Regex ^[a-z]{1,}-Yardım (masa) {0,1} .com $
2. Kayıt Müdürü Filtresi: GodAddy’ye odaklanın (gerekirse Namecheap gibi diğerlerine genişletin).
3. NameServer Filtresi: DomainControl kullanarak alan adlarını ekleyin[.]com.
4. Yaratılış Tarihi: Sonuçları 1 Mart 2025’ten sonra kayıtlı alanlarla kısıtlayın.
Bu filtreleri DNS veritabanlarına uygulamak, birçoğu yüksek profilli hukuk firmalarını taklit eden 50 kötü amaçlı alan ortaya çıkarmıştır.
- Hedeflenen endüstriler: Yasal, finans ve sağlık sektörleri, hassas verilerin ele alınması nedeniyle daha yüksek risk altındadır.
- Veri hırsızlığı: Çalıntı kimlik bilgileri fidye yazılımı saldırılarına, finansal sahtekarlığa veya kurumsal casusluklara yol açabilir.
- Genişleyen altyapı: Luna Güve hızla operasyonları ölçeklendiriyor ve ileride daha geniş kampanyalar öneriyor.
Eclecticiq’in baş tehdit analisti Alex Rivera, “Bu grup iç sistemlere olan güvenden yararlanıyor” dedi. “Çalışanlar, özellikle istenmeyen yardım masası istekleri için kimlik bilgileri girmeden önce URL’leri doğrulamalıdır.”
- Alan Adı İzleme: Luna güvenin kalıplarını eşleştiren alan adlarını işaretlemek için tehdit istihbarat araçlarını kullanın.
- Çalışan Eğitimi: Personeli kimlik avı girişimlerini ve sahte yardım masası portallarını tanıması için eğitin.
- Çok faktörlü kimlik doğrulama (MFA): Tüm kritik sistemlerin kimlik bilgisi hırsızlığını azaltmak için MFA’yı uygulayın.
- Kayıt şirketi işbirliği: Daha hızlı yayından kaldırma için şüpheli alan adlarını GodAddy gibi kayıt şirketlerine bildirin.
ECLECTICIQ, siber güvenlik profesyonellerini arama parametrelerini rafine etmeye teşvik eder:
- GodAddy’nin ötesinde kayıt memurları eklemek (örn., Namecheap, Google Domains).
- NameServer filtrelerini daha az yaygın sağlayıcılar içerecek şekilde genişletir.
- Kampanya geliştikçe oluşturma tarih eşiklerini ayarlamak.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!