Scripted Sparrow, üç kıtada faaliyet gösteren, yeni tanımlanan bir Ticari E-posta Güvenliği (BEC) grubudur.
Operasyonları çok geniştir ve saldırı mesajlarını küresel ölçekte oluşturmak ve dağıtmak için önemli ölçüde otomasyondan yararlanırlar.
Grup öncelikle, hiçbir şeyden haberi olmayan çalışanları kandırmak için yönetici koçluğu veya liderlik eğitimi danışmanlığı gibi görünerek kuruluşları hedef alıyor.
Saldırı genellikle Borç Hesapları ekip üyesine gönderilen bir e-postayla başlar. Bu mesajlar genellikle bir satıcı ile şirket yöneticisi arasındaki bir konuşmayı simüle eden sahte bir yanıt zinciri içerir.
Amaç, genellikle “The Catalyst Executive Circle” gibi hizmetler için sahte fatura ve W-9 formu içeren talebe meşruiyet kazandırmaktır.
.webp)
Daha yüksek düzeyde mali onay iş akışlarının tetiklenmesini önlemek için faturalar genellikle 50.000 ABD Dolarının, özellikle 49.927,00 ABD Dolarının biraz altına düşecek şekilde hazırlanır.
Son zamanlarda Fortra analistleri, grubun güvenlik filtrelerini aşmak için taktiklerini geliştirdiğini tespit etti. Kötü amaçlı belgeleri doğrudan eklemek yerine, bazen kasıtlı olarak bunları atlayarak alıcının yanıt vermesini ve eksik dosyaları istemesini sağlarlar.
Bu konuşma, son yük teslim edilmeden önce güven oluşturur. Ölçek çok büyük ve tahminler grubun ayda milyonlarca hedefli mesaj gönderdiğini gösteriyor.
Bu cilt, bu kadar yüksek miktarda yazışmayı yönetmek için otomatik komut dosyası oluşturma araçlarının kullanımını büyük ölçüde ima ediyor.
Örneğin, meta veri analizi, PDF eklerinin %76’sının Skia/PDF kitaplığı kullanılarak oluşturulduğunu ortaya çıkardı; bu da belge oluşturma konusunda akıcı, programlı bir yaklaşımın göstergesidir.
Operasyonel Güvenlik ve Kaçınma Taktikleri
Scripted Sparrow’un farklı bir yönü, çeşitli operasyonel güvenlik önlemleri yoluyla izlerini maskeleme girişimidir.
Aktif savunma çalışmaları sırasında araştırmacılar, grubun coğrafi konumlarını yanıltmak için tarayıcı eklentileri kullandığını gözlemledi.
Ancak bu girişimler çoğu zaman teknik açıdan yeterli düzeyde olmadıklarını ve Uzak Masaüstü Protokolü (RDP) konusundaki anlayış eksikliklerini ortaya çıkardı.
Örneğin, bazı aktörlerin araçlarının zayıf konfigürasyonu nedeniyle beklenmedik uzak konumlardan faaliyet gösterdiği görüldü.
Tarayıcı parmak izlerinin daha ayrıntılı analizi daha fazla tutarsızlığı ortaya çıkardı. Şekil 6’da gösterilen vakalardan birinde, bir tehdit aktörünün yalnızca saniyeler içinde San Francisco’dan Toronto’ya seyahat ettiği ve konum maskeleme yazılımının kullanıldığını doğruladığı görüldü.
Ek olarak, kullanıcı aracısı dizelerinin teknik incelemesi, “TelegramBot (TwitterBot gibi)” gibi girişleri tespit etti.
Bu spesifik veri noktası, grubun iç iletişim ve koordinasyon için Telegram’ı kullandığını gösteriyor.
Bu teknik kaymalar, savunmacılara altyapılarını etkili bir şekilde tespit etmeleri ve engellemeleri için değerli sinyaller sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
