2025’in ortalarında, dağınık örümcek, Octo Tempest, UNC3944, çamurlu Terazi ve 0ktapus olarak bilinen tehdit grubuna atfedilen yeni bir hedefli müdahale dalgalanması, birden fazla endüstriyi etkilemeye başladı.
Başlangıçta ortada düşman (AITM) alanlarından yararlanan olağandışı SMS tabanlı kimlik avı kampanyaları tarafından tanımlanan bu operatörler, o zamandan beri sofistike sosyal mühendisliği gizli ağ sömürüsüyle birleştirme yaklaşımlarını geliştirdiler.
Birincil hedefleri, genellikle aylarca süren keşif ve kimlik bilgisi hasatından sonra gasp veya fidye yazılımı dağıtım yoluyla finansal kazanç olarak olmaya devam etmektedir.
Microsoft analistleri, bu kampanyaların tipik olarak özenle hazırlanmış bir mızrak aktı mesajı veya telefon, e-posta veya mesajlaşma platformları aracılığıyla doğrudan servis-malı taklit edilmesi ile başladığını belirtti.
İlk erişim sağlandıktan sonra, dağınık örümcek, sıklıkla Mimikatz ve Aadinternals gibi araçları kullanarak keşif, Active Directory özelliklerinin numaralandırılması ve kimlik bilgisi çöplüğüne hızla döner.
Aynı zamanda, saldırganlar güvenilir arka kapı yoluyla kalıcılık oluşturur ve tehlikeye atılan varlıklarla gizli iletişimleri sürdürmek için ngrok veya keski tünellerinden yararlanırlar.
Bu ilk hamlelerden kısa bir süre sonra, Microsoft araştırmacıları, VMware ESX hipervizör ortamlarına belirgin bir odaklanarak Dragonforce Fidyeware’in konuşlandırılmasını gözlemledi.
Bu seçim, tehdit aktörlerinin tüm veri depolarını şifrelemesine izin vererek operasyonel bozulmayı ve fidye taleplerini en üst düzeye çıkarır.
Savunmaları daha da karmaşıklaştıran Spider’ın son taktikleri, şirket içi ve bulut kimlik sömürüsünü karıştırarak kritik Entra Connect sunucularına etki alanı sınırlarını aşmak için saldırıyor.
Bu tür melez grevler, grubun evriminin tamamen bulut odaklı saldırılardan tam spektrumlu müdahalelere kadar altını çiziyor.
Bu taktiklerin, tekniklerin ve prosedürlerin (TTP’ler) tespiti Microsoft Defender’ın XDR ekosistemi boyunca kapsamlı bir şekilde eşlenmiştir.
Sanal makinelerdeki (MDC) olağandışı şifre sıfırlama uyarılarından DCSYNC denemelerinin (MDI) ve şüpheli yükselti erişim işlemlerinin (MDC) tespitine kadar, savunucular uç noktalar, kimlikler ve bulut iş yüklerinde yüksek fidelite sinyallerini izleyebilir.
.webp)
Kalıcılık Taktikleri: Gizli bir taban oluşturmak
Dağınık Spider’ın cephaneliğinde kritik bir subtopik, uzun vadeli erişimi garanti etmek için ADF’lerin kalıcı arka kapılarını kullanmasıdır.
Yönetim ayrıcalıkları elde edildikten sonra, grup ADFS yapılandırma veritabanını değiştiren özel komut dosyalarını dağıtır ve kötü amaçlı hizmet kancaları enjekte eder.
Bu kancalar, kullanıcı kimlik doğrulaması üzerine otomatik olarak yürütülür ve saldırganlara daha fazla kimlik bilgileri istemeden yükseltilmiş ayrıcalıklar verir.
Microsoft analistleri, arka kapıyı implante etmek için kullanılan etkilenen ortamlarda aşağıdaki PowerShell snippet’ini belirledi:-
Import-Module AADInternals
$cred = Get-Credential
Set-AdfsProperties -AutoCertificateRollover $false
Add-AdfsServicePrincipalName -Principal $cred.UserName -ServicePrimaryRefreshToken $true Bu kod, arka kapının yanlışlıkla kaldırılmasını önlemek için otomatik sertifika yenilemesini devre dışı bırakır ve saldırgan kontrollü kimlik bilgilerine bağlı bir hizmet ana adını kaydeder.
Entra ID API’lerinden yararlanarak, düşman herhangi bir kimlik doğrulama olayının, çok faktörlü kimlik doğrulama kontrollerini etkili bir şekilde atlayarak ayrıcalıkların sessiz bir yükselmesini tetiklemesini sağlar.
Anormal ADFS konfigürasyonu değişiklikleri için ileri av sorguları yoluyla devam eden uyanıklık, SOC ekiplerinin saldırganların tam olarak yararlanabilmesi için bu kalıcılık mekanizmalarını tespit etmesini ve düzeltmesini sağlar.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.