Altyapı dağıtımında, üç büyük tehdit aktörünü bir araya getiren yağmacı bir ittifak olan SLSH’nin taktiklerini yansıtan bir artış: Scattered Spider, LAPSUS$ ve ShinyHunters.
100’den fazla yüksek değerli kuruluşta, özellikle Okta olmak üzere Tek Oturum Açma (SSO) platformlarını hedef alan karmaşık bir kimlik hırsızlığı kampanyası ortaya çıktı.
Otomatik kimlik avı kampanyalarından farklı olarak bu işlem insan tarafından yürütülür. Sağlamlaştırılmış Çok Faktörlü Kimlik Doğrulama (MFA) sistemlerini bile atlatmak için sesli kimlik avına (“vishing”) dayanır.
Saldırganlar, operatörlerin aktif oturum açma oturumları sırasında kimlik bilgilerine ve MFA belirteçlerine gerçek zamanlı olarak müdahale etmesine olanak tanıyan ve kurumsal ortamlara anında kalıcı erişim sağlayan bir “Canlı Kimlik Avı Paneli” kullanıyor.
SLSH “Süper Grup” Tehdidi
Silent Push, altyapı dağıtımında SLSH’nin TTP’lerini (Taktikler, Teknikler ve Prosedürler) yansıtan bir artış tespit etti.
Bu hibrit yaklaşım, kurumsal kimlik sağlayıcılarını hedef alan zorlu bir başlangıç erişim stratejisi oluşturur.
Grubun karmaşıklığı otomasyonda değil, insanlarla etkileşimde yatıyor; saldırganlar, yardım masalarını ve çalışanları ararken canlı kimlik avı sayfalarını eş zamanlı olarak manipüle ederek yaklaşımlarını her kurbanın özel oturum açma istemlerine göre uyarlıyor.
SLSH, Scattered Spider’ın gelişmiş sosyal mühendislik yeteneklerini LAPSUS$’ın yerleşik gasp metodolojisiyle birleştirerek “The Com” ekosisteminden ortaya çıktı.
Birden fazla sektördeki kuruluşlar aktif hedeflemeyle karşı karşıyadır. Atlassian, Canva, Epic Games, HubSpot ve Zoom gibi teknoloji şirketlerinin yanı sıra Blackstone, RBC ve State Street gibi finans kurumları da yüksek riskle karşı karşıya.
Tehdit sağlık hizmetlerine (Biogen, Moderna), gayrimenkule (Simon Property Group, Zillow) ve altyapı sektörlerine (AECOM, Halliburton) kadar uzanıyor. Silent Push, son 30 gün içinde bu kuruluşlara yönelik aktif hedefleme veya altyapı hazırlığı tespit etti.
Geleneksel güvenlik farkındalığı eğitimleri bu tehdit vektörüne karşı yetersiz kalıyor. SLSH operatörleri son derece ikna edici ve koordinelidir; teknik kapasiteyi sosyal mühendislik hassasiyetiyle birleştirir.
Güvenliği ihlal edilmiş tek bir SSO hesabı, tüm kurumsal uygulama ekosisteminin “iskelet anahtarı” haline gelir.
Saldırı İlerlemesi ve Etkisi
LAPSUS$’ın taktiklerini takip eden grup, şantaj amacıyla hızlı veri hırsızlığına öncelik veriyor.
İlk SSO ihlalinin ardından saldırganlar, daha yüksek ayrıcalıklı erişim sağlamak için iç iletişim platformları Slack’e, Microsoft Teams’den sosyal mühendislik yöneticilerine yöneliyor.
Son olarak, kritik verileri şifrelerler ve şifre çözme anahtarları için fidye talep ederek hırsızlığı operasyonel kesintiyle birleştirirler.
Hedef listede yer alan kuruluşların acil karşı önlemler alması gerekiyor. Destek personelini ve çalışanları devam eden SLSH faaliyetleri hakkında uyarın; Başarıya ulaşmak, çalışanların farkındalığının doğrudan karşı çıktığı sosyal manipülasyona bağlıdır.
Okta ve diğer SSO sağlayıcı günlükleri üzerinde adli denetimler gerçekleştirin ve özellikle “Yeni Cihaz Kaydedildi” olaylarını araştırın ve hemen ardından bu saldırı modelinin ayırt edici özelliği olan, tanıdık olmayan IP adreslerinden giriş yapın.
Saldırı kampanyaları başlamadan önce saldırı öncesi istihbarat yeteneklerini devreye alın. Silent Push’un Gelecekteki Saldırı Göstergeleri (IOFA™) beslemeleri, altyapı faaliyete geçmeden önce kötü amaçlı benzer etki alanlarını belirlemek ve engellemek için DNS düzeyinde çalışır.
Bu proaktif yaklaşım, saldırganların komuta kontrol altyapısı kurmasını engeller.
Kuruluşlar harekete geçmek için ihlal bildirimlerini beklememelidir. Önleme penceresi açık kalır, ancak saldırılar belirli çalışanları hedef almaya başladığında kapanma hızla gerçekleşir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.