Hediye kartları, çalınan veriler veya ele geçirilen sistemler için hızlı para kazanma olanağı sağladığından bilgisayar korsanları için caziptir.
Hediye kartlarının yeniden satışı basittir ve aynı zamanda paraya da dönüştürülebilir; bu da onları, tehdit aktörlerinin yasa dışı girişimlerinden büyük ölçüde faydalanmasını sağlamak için nispeten risksiz bir araç haline getirir.
Microsoft siber güvenlik analistleri yakın zamanda hediye kartı sisteminin Storm-0539 (diğer adıyla Atlas Lion) olarak bilinen bir tehdit grubu tarafından hedef alındığını keşfetti.
Yöntemlerini perakende, ödeme ve kendisiyle ilişkili diğer sektörlerde meydana gelen değişikliklere uygun olacak şekilde ayarlar.
Storm-0539’un yasa dışı hediye kartı hırsızlığı girişimleri, şifreli kanallar ve yer altı forumları aracılığıyla koordine edilmektedir.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Teknik Analiz
Bu, teknolojik güvenlik açıklarından yararlanmayı ve hediye kartı portallarını tehlikeye atan sosyal mühendislik kampanyaları yürütmeyi ve çalınan kartların takip edilemeyen nakde dönüştürülmesine olanak sağlamayı içeriyor.
Hızlı kar elde etmek için ölçeklenebilir saldırıları hedef alan tehdit aktörleriyle karşılaştırıldığında bu aktör, hediye kartları aracılığıyla sessizce hırsızlık yapmasıyla öne çıkıyor.
Storm-0539, faaliyetleri Noel, Yılbaşı gibi büyük tatillere doğru yoğunlaşan Fas merkezli bir tehdit grubudur.
İstila denemeleri, 2023-2024 yaz, sonbahar ve kış aylarında toplamın %30 ila %60’ını oluşturuyordu.
Storm-0539, diğer taktiklerin yanı sıra modern ödeme kartı dolandırıcılığına da adapte olmuş bir gruptur.
Bunlar arasında kimlik avı, smishing, MFA atlaması için cihaz kaydı ve perakendecilerin, markaların ve restoranların bulut kimliklerini ve hediye kartı portallarını hacklemek için kullanılan üçüncü taraf erişimi yer alıyor.
.webp)
Kötü amaçlı yazılımlara güvenmek yerine, erişim ayrıcalıklarına sahip personeli hedef alan hediye kartı düzenleme planlarını başarılı bir şekilde gerçekleştirmek için bulut hakkındaki derin anlayışlarını nasıl kullanabilecekleri konusuyla daha fazla ilgilenmeye başlıyorlar.
Storm-0539’un keşif ve bulut ortamlarından yararlanma yeteneği, ulus devlet tehdit aktörlerininkine benzemektedir ve bu da casusluk yöntemlerinin şu anda finansal motivasyona sahip tehdit aktörlerini nasıl etkilediğini göstermektedir.
Storm-0539, devlet destekli gelişmiş bilgisayar korsanlığı grupları gibi davranarak, son kullanıcılar yerine hediye kartı yazdırma sürecini tehlikeye atmak için bulut yazılımına, kimliklere ve erişim haklarına odaklanıyor.
Faaliyetlerini gizlemek için ücretsiz bulut kaynaklarını kullanan gerçek kuruluşlarmış gibi davranıyorlar.
Aldatma araçları arasında, orijinal 501(c)(3) IRS mektuplarını indirebilecekleri ve daha sonra bunları kullanarak hayır kurumları için sponsorlu bulut hizmetlerine ulaşabilecekleri, ABD’deki kar amacı gütmeyen kuruluşları taklit eden yazım hataları yapan web siteleri yer alıyor.
Ulus-devlet zanaatının finansal saiklerle birleşimi, Storm-0539 ve Octo Tempest gibi aktörlerin yeni tehditlerini temsil ediyor.
Grubun ücretsiz deneme oluşturma ve bulut hizmetlerinden ödün verme konusundaki verimliliği, hedeflenen operasyonları minimum maliyetle başlatmalarına olanak tanıyor.
Öneriler
Aşağıda sunulan tüm önerilerden bahsettik: –
- Token koruması ve en az ayrıcalıklı erişim
- Kimlik avına karşı dayanıklı MFA
- Güvenli bir hediye kartı platformunu benimseyin ve sahtekarlığa karşı koruma çözümlerini uygulayın
- Kullanıcı risk düzeyi yüksek olduğunda güvenli parola değişikliği gerektirme
- Çalışanları eğitin
- Kimlik avı ve AiTM etkinliğiyle ilişkili kullanıcıların şifrelerini sıfırlayın
- Office 365 için Microsoft Defender’da sıfır saatlik otomatik temizlemeyi (ZAP) etkinleştirme
- Saldırı yüzeylerini en aza indirmek için kimlikleri, erişim ayrıcalıklarını ve dağıtım listelerini güncelleyin
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers