olarak bilinen bir tehdit aktörü. Karışık Terazi ilk erişimi elde etmek için gelişmiş sosyal mühendislik hilelerinden yararlanan kalıcı saldırılarla iş süreci dış kaynak kullanımı (BPO) endüstrisini hedefliyor.
Palo Alto Networks Unit 42 teknik bir raporda, “Muddled Libra’yı tanımlayan saldırı tarzı, 2022’nin sonlarında önceden oluşturulmuş bir barındırma çerçevesi ve paket şablonlar sunan 0ktapus kimlik avı kitinin piyasaya sürülmesiyle siber güvenlik radarında göründü.”
Terazi, siber güvenlik şirketi tarafından siber suç grupları için verilen atamadır. Tehdit aktörü için “karmaşık” lakap, 0ktapus çerçevesinin kullanımına ilişkin hüküm süren belirsizlikten kaynaklanmaktadır.
Scatter Swine olarak da bilinen 0ktapus, ilk olarak Ağustos 2022’de Twilio ve Cloudflare dahil 100’den fazla kuruluşa yönelik parçalayıcı saldırılarla bağlantılı olarak ortaya çıkan bir izinsiz giriş setini ifade eder.
Daha sonra 2022’nin sonlarında CrowdStrike, en azından Haziran 2022’den bu yana kimlik bilgileri kimlik avı ve SIM değiştirme saldırılarının bir kombinasyonu yoluyla telekom ve BPO şirketlerini hedef alan bir dizi siber saldırıyı ayrıntılı olarak açıkladı. Bu küme, Roasted 0ktapus, Scattered Spider ve UNC3944 adları altında izleniyor.
Kıdemli tehdit araştırmacısı Kristopher Russo, The Hacker News’e “Birim 42, 0ktapus kimlik avı kitiyle ilişkili kafa karıştırıcı karışık manzara nedeniyle Karmakarışık Terazi adını vermeye karar verdi.”
“Kit artık geniş çapta mevcut olduğundan, diğer birçok tehdit aktörü onu cephaneliklerine ekliyor. Tek başına 0ktapus kimlik avı kitini kullanmak, bir tehdit aktörünü Unit 42’nin Karmakarışık Terazi olarak adlandırdığı şey olarak sınıflandırmaz.”
E-suç grubunun saldırıları, ilk erişimi sağlamak için smishing ve 0ktapus kimlik avı kitinin kullanılmasıyla başlar ve tipik olarak veri hırsızlığı ve uzun vadeli ısrarla sona erer.
Bir başka benzersiz özellik de, kurbanın müşterilerine yönelik aşağı yönlü saldırılarda güvenliği ihlal edilmiş altyapının ve çalınan verilerin kullanılması ve hatta bazı durumlarda veri kümelerini yenilemek için aynı kurbanları tekrar tekrar hedef almasıdır.
Haziran 2022 ile 2023’ün başları arasında yarım düzineden fazla Karmakarışık Terazi olayını araştıran Birim 42, grubu azimli ve “hedeflerine ulaşmada metodik ve saldırı stratejilerinde son derece esnek” olarak nitelendirdi ve barikatlarla karşılaştıklarında taktiklerini hızla değiştirdi.
Kalıcı erişimi sürdürmek için çok çeşitli meşru uzaktan yönetim araçlarını tercih etmenin yanı sıra, Muddled Libra’nın kimlik bilgilerini çalmak için savunmadan kaçınma ve çok faktörlü kimlik doğrulama (MFA) bildirim yorgunluğu taktiklerini kötüye kullanma için uç nokta güvenlik çözümlerini kurcaladığı bilinmektedir.
Tehdit aktörünün, parçalama ve ani bombalama saldırılarını gerçekleştirmek için çalışan listelerini, iş rollerini ve cep telefonu numaralarını topladığı da gözlemlendi. Bu yaklaşım başarısız olursa, Muddled Libra aktörleri, kontrolleri altındaki yeni bir MFA cihazını kaydettirmek için kurban gibi davranarak kuruluşun yardım masasıyla iletişime geçer.
Araştırmacılar, “Muddled Libra’nın sosyal mühendislik başarısı kayda değer” dedi. “Çoğu vakamızda grup, hem yardım masasıyla hem de diğer çalışanlarla telefonda iletişim kurarak onları güvenli olmayan eylemlerde bulunmaya ikna ederek alışılmadık derecede yüksek bir rahatlık gösterdi.”
Saldırılarda ayrıca erişimi artırmak için Mimikatz ve Raccoon Stealer gibi kimlik bilgisi çalma araçları ve ağ keşfini kolaylaştırmak ve sonuç olarak Confluence, Jira, Git, Elastic, Microsoft 365 ve dahili mesajlaşma platformlarından verileri sızdırmak için diğer tarayıcılar da kullanılıyor.
Birim 42, 0ktapus kimlik avı kitinin yapımcılarının Muddled Libra’nın sahip olduğu gelişmiş yeteneklere sahip olmadığını teorize etti ve ticari zanaat çakışmalarına rağmen aktör ile UNC3944 arasında kesin bir bağlantı olmadığını ekledi.
Araştırmacılar, “Düzceli sosyal mühendislik ve çevik teknoloji adaptasyonunun kesiştiği noktada Muddled Libra duruyor” dedi. “Bir dizi güvenlik disiplininde yetkinler, nispeten güvenli ortamlarda başarılı olabiliyorlar ve yıkıcı saldırı zincirlerini tamamlamak için hızla yürütüyorlar.”
“Kurumsal bilgi teknolojisine ilişkin derinlemesine bilgi sahibi olan bu tehdit grubu, iyi gelişmiş eski siber savunmalara sahip kuruluşlar için bile önemli bir risk oluşturuyor.”