MGM Grand ve Caesars üzerindeki gösteriyi durduran siber saldırıların etkileri hala hissedilirken, saldırganlar bilgi hırsızlığı yapan kötü amaçlı yazılımları yaymayı amaçlayan aktif bir kimlik avı kampanyasıyla konaklama sektörünü hedeflemeye devam ediyor. Saldırıda, bu ay tatil köyleri kumarhanelerini eninde sonunda sekteye uğratanlara benzer sosyal mühendislik taktikleri kullanılıyor.
26 Eylül’de yayınlanan Cofense blog gönderisine göre, Cofense Intelligence’daki araştırmacılar tarafından keşfedilen kampanya, lüks tatil köyleri ve otel zincirlerindeki çalışanları cezbetmek için keşif e-postalarından ve anlık mesajlardan yararlanıyor. Daha sonra e-posta güvenlik analizini bozduğu ve e-posta ağ geçitlerini (SEG’ler) güvenli hale getirdiği bilinen çeşitli yöntemlerden yararlanan kimlik avı mesajlarını takip edecekler, böylece mesajlar amaçlanan hedeflere ulaşacak. Rapora göre bu taktikler arasında e-postalarda güvenilir bulut alanlarının kullanılması, parola korumalı arşivler ve analizi aksatabilecek kadar büyük yürütülebilir dosyalar yer alıyor.
Cofense siber tehdit istihbarat analisti Dylan Duncan, gönderisinde şunları yazdı: “Keşif e-postasından kötü amaçlı yüke kadar, bu kampanya ve enfeksiyon zinciri hem son derece karmaşık hem de tehdit aktörleri tarafından iyi düşünülmüş.”
Ayrıntılara gösterilen bu dikkatin, “bu e-postaların amaçlanan hedeflere ulaşma başarısını” yansıttığını ve kampanyada Ağustos ve Eylül aylarında “endişe verici bir oranda” kayda değer bir artış yaşandığını ekledi. Aslında, kampanyada gözlemlenen kimlik avı e-postalarının %85’i son 60 gün içinde gönderildi; Cofense’e göre Eylül ayı, ağustos ayına göre daha yüksek bir mesaj sıklığı gösteriyor.
Meşruiyeti Artırmak İçin Bulut Hizmetlerini Kullanmak
Tehdit aktörleri, ilk teması lüks konaklama zincirlerine ve hizmetlerine, şirket e-posta adresi olduğuna inandıkları bir e-posta göndererek gerçekleştirir. Bir vakada, rezervasyon e-posta adresini hedef alan bir mesajda tehdit aktörleri, mevcut rezervasyonları için özel tıbbi talep isteyen bir müşteri olduklarını iddia etti.
Bu ilk mesajlar kötü amaçlı içerik içermez, yalnızca hedef e-posta hesabının yayında olduğunu doğrulamak için kullanılır. Alıcı yemi yutarsa saldırganlardan gelen takip mesajı aynı gün gelir; ancak bu, keşif e-postasına benzer bir cazibeye sahip olan ve kampanyaya meşruiyet kazandıran bir kimlik avı e-postasıdır.
Duncan, “Bu cazibelerin tümü, hedeflenen konaklama organizasyonundan bir tür yanıt almayı garanti ediyor ve büyük olasılıkla çalışanın, rezervasyon talebi veya rezervasyon değişikliği gibi görmeye alışık olduğu şeylere çok benziyor” diye yazdı.
E-postalar, kurbanın kötü amaçlı dosyalar içeren şifre korumalı bir arşivi indirdiği, Google Drive, Dropbox veya DiscordApp gibi güvenilir bir bulut alanında barındırılan bir enfeksiyon URL’si içeriyor. Cofense tarafından gözlemlenen bağlantıların yüzde 58’i Google Drive dosyaları, arşivlerin ise yüzde 49’u .ZIP dosyalarıydı.
Google Drive’ın ve barındırılan diğer şifre korumalı arşiv platformlarının kötüye kullanılması, kimlik avı oyunundaki tehdit aktörlerinin güvenliği atlatmak için yaygın bir taktiği olsa da, aktörlerin güvenlik araştırmacılarını yoldan çıkarmak için kullandığı başka yöntemler de var. Örneğin, belirtildiği gibi, bir hile, yaklaşık 600 MB ila 1 GB aralığındaki kötü amaçlı yürütülebilir dosyaları dağıtmak için büyük bir dosya boyutu kullanmaktır. Kendisi, çoğu sanal alanın ve diğer analiz araçlarının taranabilecek dosyaların boyutunun sınırlı olması nedeniyle bu durumun analizi aksattığını söyledi.
Nihai Hedef Kimlik Bilgisi Hırsızlığıdır
Kampanyanın nihai hedefi, çalışanların kurumsal sistemde kullanılan çeşitli uygulamalara ilişkin oturum açma bilgilerini çalmak ve bazı durumlarda ikincil veriler sunmaktır. Kampanya tarafından dağıtılan hırsızlar bilinen beş kötü amaçlı yazılım ailesinden geliyor: RedLine Stealer, Vidar Stealer, Stealc, Lumma Stealer ve Spidey Bot.
Aslında, RedLine ve Vidar’ın arkasındaki tehdit aktörlerinin yakın zamanda kendi hırsızlarını ele geçirmek için benzer taktikler kullanarak fidye yazılımlarına yöneldiği görüldü; bu da bir kimlik avı kampanyasının yakın zamanda MGM ve Caesars’ı devirenlere benzer tam kapsamlı bir fidye yazılımı saldırısına ne kadar kolay yol açabileceğini gösterdi. Cofense, bilinen herhangi bir başarılı saldırı hakkında ayrıntılı bilgi vermedi.
Duncan, kimlik avı kampanyasının başarı şansının yüksek olduğunu söylüyor; bunun nedeni yalnızca gönderdiği mesaj sayısı değil, aynı zamanda hedeflerin teknoloji konusunda pek bilgili olmaması da.
“Bu kampanyaların hedefleri muhtemelen siber güvenlik uzmanları değil, yalnızca işlerine uygun alanlarda uzmanlaşmış günlük kullanıcılar olacaktır” diyor.
Duncan, bu durumda, olası bir kampanya hedefinin kullanabileceği en pratik savunmanın, bu çalışanları genel kimlik avı kavramları konusunda eğitmek ve aynı zamanda onları Cofense tarafından keşfedilen gibi kötü amaçlı kampanyaların varlığı konusunda bilgilendirmek olduğunu söylüyor.
Teknik açıdan bakıldığında, kuruluşların, işletmelerinin genellikle desteklemediği kampanya tarafından kötüye kullanılan sitelerden yapılan indirmeleri engellemesi gerektiğini ekliyor; “şirket bu sitelerde meşru iş yürütmüyorsa Google Drive veya DiscordApp’tan indirmeleri engellemek gibi”.