Dünyanın en tehlikeli fidye yazılımı gruplarından biri, hedefli ve karmaşık kimlik avı saldırılarında kendine özgü akıllı sosyal mühendisliğini kullanıyor. finans ve sigorta şirketleriBulut tabanlı ortamlara ait üst düzey izinleri çalmayı ve nihayetinde fidye yazılımı sunmayı amaçlayan bir saldırıdır.
Scattered Spider, BT hizmet masası yöneticileri ve siber güvenlik ekipleri gibi yüksek ayrıcalıklı hesapları hedef almak için SMS ve sesli kimlik avı (veya sırasıyla smishing ve vishing) saldırıları kullanıyor. EclecticIQ araştırmacılarına göre saldırganlar, bulut tabanlı hizmetleri tehlikeye atmak ve nihayetinde fidye yazılımı saldırıları için kurban ortamlarına erişim sağlamak için çalınan kimlik bilgilerini kullanıyor.
“Scattered Spider, hedefleri aldatmak ve manipüle etmek için sıklıkla telefon tabanlı sosyal mühendislik tekniklerini kullanıyor, özellikle de BT servis masalarını ve kimlik yöneticilerini hedef alıyor,” diye yazdı EclecticIQ Tehdit İstihbaratı Analisti Arda Büyükkaya yakın zamanda yapılan bir analizde“Aktör, güven ve erişim kazanmak için sıklıkla çalışanların kimliğine bürünüyor, MFA ayarlarını manipüle ediyor ve kurbanları sahte oturum açma portallarına yönlendiriyor.”
Büyükkaya, saldırıların o kadar iyi planlandığını, bulut altyapılarından sorumlu kimlik yöneticilerinin, uygulama yönetimi ve kimlik erişim politikası platformu olan VMware Workspace ONE için kimlik bilgilerini girmeye zorlandığını, böylece saldırganların çok faktörlü kimlik doğrulama (MFA) ile korunan hesaplara bile yetkisiz erişim sağlayabildiğini söyledi.
Bulut Hizmetleri, SaaS Hedefte
Scattered Spider’ın bulut ortamlarına kalıcı erişim elde etmesinin diğer yolları çalıntı kimlik bilgileri satın almak, SIM takasları gerçekleştirmek ve bulut tabanlı araçlar kullanmaktır. Aslında, tehdit grubu kötü niyetli faaliyetlerini yürütmek için bulut altyapısının meşru özelliklerini kullanıyor ve bu da operasyonlarının tespit edilmesini ve engellenmesini giderek daha da zorlaştırıyor, diye belirtti Büyükkaya.
“Siber suçlu grubu, Azure’un Özel Yönetim Konsolu ve Veri Fabrikası gibi meşru bulut araçlarını kötüye kullanarak uzaktan komutlar yürütüyor, veri aktarıyor ve tespit edilmekten kaçınırken kalıcılığı koruyor,” diye yazdı.
EclecticIQ tarafından gözlemlenen saldırılar, Microsoft Entra ID ve Amazon Web Services Elastic Computer Cloud gibi bulut tabanlı hizmetleri hedef aldı. hizmet olarak yazılım (SaaS) platformları Büyükkaya, “tek oturum açma (SSO) portallarını yakından taklit eden kimlik avı sayfaları dağıtarak” Okta, ServiceNow, Zendesk ve VMware Workspace ONE gibi şirketlere yönelik saldırılar düzenlendiğini yazdı. Bu sayfalar, son derece ikna edici görünen sosyal mühendislik saldırıları yoluyla iletilir; öyle ki bulut güvenlik mühendislerini bile kandırabilirler.
Karmaşık Bir Saldırı Ağı Oluşturma
Octo Tempest olarak da bilinen Scattered Spider, fidye yazılımı oyununda oldukça hızlı bir şekilde önemli bir isim yaptı. Grup, 2022’de sahneye sofistike sosyal mühendislik teknikleri, Batılı iş adamlarının psikolojisini anlama yeteneği ve ana dili İngilizce olan bir hakimiyetle çıktı; bunların hepsini ağır topçularının bir parçası olarak kullandı. Grup kısa sürede devasa Caesars Palace ve MGM Entertainment’a yönelik fidye yazılımı saldırıları yaklaşık bir yıl sonra.
Scattered Spider, başlangıçta BlackCat/Alphv fidye yazılımıyla işbirliği yaptı ancak bir fidye yazılımı hizmeti (RaaS) iştiraki haline geldi RansomHub ve Qilin bu yılın başlarında, BlackCat/Alphv törensiz bir şekilde Mart ayında karardıiştirakleri zor durumda bırakıyor.
Son zamanlarda Scattered Spider, FBI da dahil olmak üzere küresel kolluk kuvvetlerinin peşindeydi ve İngiltere yetkilileri yakın zamanda tutuklandı Temmuz ayında İngiltere’nin Walsall kasabasından 17 yaşındaki bir genç, grupla bağlantısı nedeniyle tutuklandı.
EclecticIQ tarafından özetlenen saldırılar, 2023 ile 2024’ün ikinci çeyreği arasında yapılan analizlerin sonucudur, bu nedenle Scattered Spider’ın o tutuklamadan bu yana ne kadar aktif olduğu henüz belirsizdir. Ancak araştırmacılar, araştırmanın grubun bulut ortamlarını başarılı bir şekilde hedef almak için kimlik ihlalini kaldıraç olarak kullanmak için örebildiği karmaşık saldırı ağına yeni ışık tuttuğunu belirtti.
Savunma ve Azaltma
EclecticIQ, tehdit aktörünün bulut ortamlarında fidye yazılımlarına sızmak, bunları sürdürmek ve yürütmek için kullandığı teknikleri ayrıntılı olarak açıklayarak savunucuların saldırıları engellemesine yardımcı olmak için fidye yazılımı dağıtım yaşam döngüsünü ana hatlarıyla belirten belirli bir çerçeve geliştirdi. Büyükkaya’ya göre bulutun erişilebilirliği, onu finansal olarak motive olmuş suçlular için birincil hedef haline getiriyor ve Scattered Spider ve diğer fidye yazılımı aktörleri için başarının sırrı olmuştur.
Şirket, kuruluşlar için önleme, tespit ve olay müdahalesi açısından güvenli kimlik doğrulama; izleme ve uyarılar; hiper yönetici bulut kaynak güvenliği; güvenlik duvarı ve ağ güvenliği ve kurumsal bulut ortamını oluşturan diğer temel ve çeşitli yönlerle ilgili ancak bunlarla sınırlı olmayan kapsamlı bir dizi öneride bulundu.
Diğer öneriler özellikle Scattered Spider’ın ilk erişim için temel yöntem olarak kimlik avını kullanma eğilimine odaklanarak, kuruluşlara düzenli olarak izleme yapmaları tavsiyesinde bulundu. tipotip alan adıBuna kendi kuruluşlarının meşru alan adları, özellikle de kendi bulut ortamlarını hedefleyenler dahildir.
Büyükkaya, “Kimlik avı saldırılarını ve sosyal mühendislik taktiklerini önlemek için bu alan adlarını proaktif olarak güvenceye alın” tavsiyesinde bulundu.