Microsoft, Amerika Birleşik Devletleri’ndeki Anma Günü tatiline yaklaşırken, bilgisayar korsanlığı grubu Storm-0539 hakkında yeni bilgiler ve hediye kartı hırsızlığında keskin bir artış paylaşan bir “Siber Sinyaller” raporu yayınladı.
FBI daha önce Storm-0539’un (“Karınca Aslanı” olarak da bilinir) faaliyetleri hakkında bu ayın başlarında uyarıda bulunarak, tehdit grubunun hediye kartı hırsızlığı ve dolandırıcılık yapma konusundaki gelişmiş tekniklerini vurguladı ve taktiklerinin devlet destekli bilgisayar korsanlarına ve gelişmiş siber casusluk aktörlerine benzediğini belirtti.
Microsoft, geçen yılın kış tatillerinde (Noel) Storm-0539 aktivitesinde %60’lık bir artış ve Mart ile Mayıs 2024 arasında %30’luk dikkate değer bir artış görüldüğünden, tehdit aktörlerinin büyük bir tatil öncesinde faaliyetlerini artırdıkları konusunda uyarıyor.
Microsoft, yeni yayınlanan Siber Sinyaller raporunda, tehdit aktörlerinin son kullanıcılar yerine hediye kartı veren kuruluşları hedef aldığını doğrularken, aynı zamanda bulut hizmet sağlayıcılarının düşük maliyetli operasyonlar için büyük ölçekli suiistimallerini de ortaya koyuyor.
Storm-0539 profili ve işleyiş şekli
Storm-0539, 2021’den bu yana faaliyet gösteren, öncelikle hediye kartı ve ödeme kartı sahtekarlığına odaklanan, mali motivasyona sahip Faslı bir tehdit grubudur.
Tehdit aktörleri, genellikle hediye kartı düzenleyen kuruluşlar olmak üzere hedeflenen kuruluşların çalışanlarını hedef alan keşif çabaları ve özel hazırlanmış e-posta ve SMS kimlik avı mesajlarıyla ünlüdür.
Kaynak: Microsoft
Çalınan hesapları kullanarak hedef ortama erişim sağladıktan sonra kalıcılık için kendi cihazlarını şirketin çok faktörlü kimlik doğrulama (MFA) platformlarına kaydediyorlar ve ardından sanal makineleri, VPN’leri, SharePoint’i, OneDrive’ı, Salesforce’u ve Citrix ortamlarını tehlikeye atarak yanal hareket ediyorlar .
Kaynak: Microsoft
Sonunda Storm-0539, karanlık web pazarlarında, mağazalarda veya para katırları kullanarak bunları nakde çevirerek kullanabilecekleri yeni hediye kartları oluşturmalarına olanak tanıyan kimlik bilgilerine erişim elde ediyor.
“Genellikle kuruluşlar, bireysel bir hediye kartına verilebilecek nakit değeri için bir limit belirliyor. Örneğin, bu limit 100.000 ABD Doları ise, tehdit aktörü 99.000 ABD Doları tutarında bir kart düzenleyecek ve ardından kendilerine hediye kartı kodunu gönderip bundan para kazanacak. ” Microsoft’un Siber Sinyaller raporunu açıklıyor.
“Onların öncelikli motivasyonu hediye kartlarını çalmak ve bunları internette indirimli fiyatla satarak kâr elde etmektir.”
“Tehdit aktörünün belirli şirketlerden günde 100.000 dolara kadar hırsızlık yaptığına dair bazı örnekler gördük.”
Tehdit aktörleri, saldırıları için yeni bir altyapı oluşturmak amacıyla, kar amacı gütmeyen kuruluşların kimliğine bürünen ve bulut hizmet sağlayıcılarına kaydolmak için kullanılan web siteleri oluşturuyor. Bu hesaplar, büyük ölçekli operasyonlarda çok az veya hiç maliyet olmadan kötüye kullandıkları “kullandıkça öde” veya “ücretsiz deneme” katmanlarına katılır.
Microsoft, “Storm-0539’un keşif ve bulut ortamlarından yararlanma yeteneği, Microsoft’un devlet destekli tehdit aktörlerinden gözlemlediği bilgilere benzer; bu, casusluk ve jeopolitik odaklı düşmanlar tarafından popüler hale getirilen tekniklerin artık finansal motivasyona sahip suçluları nasıl etkilediğini gösteriyor” diye açıklıyor.
Kaynak: Microsoft
Savunma önerileri
Microsoft, hediye kartı veren portal operatörlerinin sürekli olarak anormallikleri izlemesini ve potansiyel olarak ele geçirilmiş tek bir hesabın alışılmadık derecede fazla sayıda kart oluşturmasını önleyecek koşullu erişim ilkeleri uygulamasını önermektedir.
Ayrıca kuruluşlara token tekrar oynatma koruma önlemlerini uygulamaları, en az ayrıcalıklı erişimi zorunlu kılmaları ve yüksek riskli hesapları korumak için FIDO2 güvenlik anahtarlarını kullanmaları tavsiye ediliyor.
Satıcılar ayrıca şüpheli işaretler taşıyan siparişleri tanıyıp reddederek Storm-0539 ve benzeri tehdit aktörlerinin kar zincirini bozmada önemli bir rol oynayabilir.
Bu saldırılar tatil alışverişi yapanları etkilemese de Anma Günü’ne hazırlanan internet kullanıcılarının dolandırıcılığa, sahte mağazalara ve kötü amaçlı reklamlara karşı daha dikkatli olmaları gerekiyor.