Finansal motivasyona sahip tehdit aktörü olarak bilinen UNC3944 Mandiant, para kazanma stratejilerini genişletmenin bir parçası olarak fidye yazılımı dağıtımına yöneldiğini açıkladı.
Tehdit istihbarat firması, “UNC3944, büyük miktarlardaki hassas verileri gasp amacıyla çalmaya daha güçlü bir şekilde odaklandığını gösterdi ve muhtemelen grubun coğrafi yapısı nedeniyle Batılı iş uygulamalarını anlıyor gibi görünüyorlar” dedi.
“UNC3944 aynı zamanda halka açık araçlara ve meşru yazılımlara, yeraltı forumlarından satın alınabilecek kötü amaçlı yazılımlarla birlikte sürekli olarak güvenmektedir.”
0ktapus, Scatter Swine ve Scattered Spider adlarıyla da bilinen grup, 2022’nin başlarından bu yana faaliyet gösteriyor ve sahte oturum açma sayfalarını kullanarak çalışanların geçerli kimlik bilgilerini elde etmek ve kurbanlara sızmak için telefon tabanlı sosyal mühendislik ve SMS tabanlı kimlik avını benimsiyor. LAPSUS $ adlı başka bir grup tarafından benimsenen taktikleri yansıtan kuruluşlar.
Grup başlangıçta telekomünikasyon ve iş süreci dış kaynak kullanımı (BPO) şirketlerine odaklanmışken, o zamandan beri büyüyen tehdidin bir göstergesi olarak konaklama, perakende, medya ve eğlence ile finansal hizmetleri kapsayacak şekilde hedeflemesini genişletti.
Tehdit aktörlerinin en önemli özelliği, çok faktörlü kimlik doğrulama (MFA) kodları ve/veya parola sıfırlamaları elde etmek amacıyla, kuruluşun hizmet masasına yapılan aramalarda çalışanın kimliğine bürünmek için kurbanın kimlik bilgilerinden yararlandıkları biliniyor.
Okta’nın bu ayın başlarında müşterileri aynı saldırılara karşı uyardığını, e-suç çetesinin kurbanların BT yardım masalarını arayarak destek personelini yüksek ayrıcalıklara sahip çalışanlar için MFA kodlarını sıfırlamaları ve erişim elde etmelerine izin vermeleri için kandırdığını belirtmekte fayda var. o değerli hesaplara.
Bir örnekte, bir çalışanın RECORDSTEALER kötü amaçlı yazılımını sahte bir yazılım indirme yoluyla yüklediği ve bunun daha sonra kimlik bilgisi hırsızlığını kolaylaştırdığı söyleniyor. EIGHTBAIT ve diğerleri gibi kimlik avı kitleri kullanılarak tasarlanan hileli oturum açma sayfaları, yakalanan kimlik bilgilerini aktör kontrollü bir Telegram kanalına gönderme ve AnyDesk’i dağıtma kapasitesine sahip.
Saldırganın, hedeflerine ulaşmak ve operasyonlarını artırmak için gerekli ayrıcalıklı erişimi elde etmek amacıyla çeşitli bilgi hırsızları (örn. Atomic, ULTRAKNOT veya Meduza ve Vidar) ve kimlik bilgisi hırsızlığı araçlarını (örn. MicroBurst) kullandığı da gözlemlendi.
UNC3944’ün faaliyetinin bir kısmı, tespitten ve yasal uzaktan erişim yazılımlarından kaçınmak için kurbanlarına erişmek amacıyla ticari konut proxy hizmetlerinin kullanımını ve ayrıca ayrıcalıkların artırılmasına ve kalıcılığın korunmasına yardımcı olmak için kapsamlı dizin ve ağ keşiflerinin yürütülmesini içerir.
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
Becerilerinizi Güçlendirin
Ayrıca, kurban organizasyonun bulut kaynaklarının, güvenlik duvarını ve güvenlik yazılımını devre dışı bırakmak ve bunları diğer uç noktalara dağıtmak için kötü amaçlı programları barındırmak amacıyla kötüye kullanılması da dikkate değerdir; bu da bilgisayar korsanlığı grubunun gelişen ticari becerisinin altını çizer.
En son bulgular, grubun BlackCat (diğer adıyla ALPHV veya Noberus) fidye yazılımı ekibinin bir üyesi olarak ortaya çıkması ve bu ekibin yeni keşfedilme statüsünden yararlanarak ortaya çıkmasıyla ortaya çıktı. çiğneme MGM Tatil Köyleri ve dağıtmak dosya şifreleyen kötü amaçlı yazılım.
Mandiant, “Tehdit aktörleri son derece yüksek bir operasyonel tempoyla çalışıyor, kritik sistemlere erişiyor ve birkaç gün içinde büyük miktarda veriyi dışarı çıkarıyor” dedi.
“Fidye yazılımını dağıtırken, tehdit aktörleri özellikle iş açısından kritik sanal makineleri ve diğer sistemleri hedef alıyor gibi görünüyor, bu da muhtemelen kurban üzerindeki etkiyi en üst düzeye çıkarmak amacıyla yapılıyor.”