Siber güvenlik eğiliminde, fidye yazılımı grupları ve devlet destekli kuruluşlar da dahil olmak üzere çoklu tehdit aktörleri, kötü amaçlı yazılım yüklerinin yüksek değerli hedeflere teslim edilmesini optimize etmek için TAG-124 olarak bilinen kötü amaçlı bir trafik dağıtım sistemi (TDS) kullanıyor.
Insikt Group’un kaydedilmiş gelecekten araştırmasına göre, TAG-124, çevrimiçi reklamcılıkta kullanılan meşru TDS’lere benzer şekilde çalışır, trafik yönlendirmesinde hızlı kararlar almak için kullanıcı tarayıcı verilerini, coğrafi konumları ve davranışsal kalıpları kullanır.
Bununla birlikte, kullanıcıları hedeflenen reklamlara yönlendirmek yerine, TAG-124, savunmasız bireyleri fidye yazılımı ve uzaktan erişim araçları gibi kötü niyetli içeriğe yönlendirirken, araştırmacılar ve kum havuzları tarafından algılamadan kaçınmak için savunma mekanizmaları kullanır.
.png
)
Bu altyapı, “büyük oyun avı” ile uğraşan siber suçlular için kritik bir araç haline gelmiştir ve burada sağlık hizmetlerinde ve diğer kritik sektörlerde olduğu gibi önemli gasp talepleri ödeyecek olan kuruluşlara öncelik vermektedir.
Rhysida ve Interlock gibi dikkate değer fidye yazılımı operatörleri TAG-124’e bağlanmıştır.
Bir hizmet olarak fidye yazılımı olan Rysida, 2023 yılında Prospect Medical Holdings’e yapılan bir saldırı için ün kazandı, 500.000’den fazla sosyal güvenlik numarasını çaldı ve çok sayıda hastane ve klinikte operasyonları bozdu.
Benzer şekilde, Interlock, Texas Tech Üniversitesi Sağlık Bilimleri Merkezi’ne yapılan bir Aralık 2024 saldırısının sorumluluğunu üstlenerek 2.6 TB hassas veriyi ortaya çıkardı.
Her iki grup da üst üste binen taktikler ve şifreleme davranışları sergiliyor, ancak potansiyel işbirliği olduğunu gösteriyor, ancak kesin ilişkileri belirsizliğini koruyor.
Ransomware’in ötesinde, TAG-124, muhtemelen finansal kurumları hedefleyen ve Avrupa ve Orta Asya’daki hükümet kuruluşlarına karşı casusluk yapan Rus hükümeti adına faaliyet gösteren siber suç grubu olan TA866 (Asylum Ambuscade) ile de bağlantılıdır.
Ek olarak, uzaktan erişim ve daha fazla yük dağıtımında kullanılan Socgholish ve D3F@CK yükleyici gibi kötü amaçlı yazılımlar, bu TDS ile ilişkilendirilmiştir, bu da arama motoru optimizasyonu (SEO) zehirlenmesi ve meşru web sitelerini tehlikeye atma gibi teknikler aracılığıyla erişimini artırmıştır.
Artan riskler ve savunma zorlukları
TAG-124 gibi paylaşılan altyapının kullanılması, siber suçluların verimliliğini artırır ve başarılı saldırıların özel araç ve hizmetlere daha fazla yatırım finanse ettiği tehlikeli bir döngü oluşturur.
Bu artan sofistike, dünya çapında işletmeler için yüksek etkili fidye yazılımı ve casusluk odaklı veri hırsızlığı riskini artırır.
Rapora göre, TAG-124’ün saldırı öldürme zincirindeki erken rolü tespit etmeyi zorlaştırıyor, ancak bu tür müdahaleleri tanımlamak, Rhysida’ya atfedilen bir ihlalin ardından Sunflower Medical’e karşı yeni bir sınıf eylem davasında görüldüğü gibi ciddi sonuçlara yol açabilir.
Girişim, üç hafta boyunca tespit edilmedi ve yasal ve operasyonel serpinti azaltmak için erken tehdit tanımlamasına yönelik kritik ihtiyacı vurguladı.
TAG-124’e ve Vextrio ve Blacktds gibi benzer TDS’lere karşı koymak için, savunucular YARA ile özel dosya taraması ve kaydedilen Future’s Intelligence Cloud gibi platformlar aracılığıyla bulunan günlük tabanlı kurallar gibi gelişmiş tehdit algılama stratejilerini benimsemelidir.
Kullanıcıları SEO zehirlenmesinin tehlikeleri hakkında eğitmek ve otomatik güncellemeler ve açılır blokerler de dahil olmak üzere güvenli tarayıcı ayarlarının uygulanması, genellikle TAG-124 altyapısına bağlı kötü niyetli istemlere maruz kalmayı daha da azaltabilir.
Siber suçlular yasadışı amaçlar için meşru içerik dağıtım tekniklerini benimsemeye devam ettikçe, TDS ile ilgili göstergeleri anlamak ve engellemek, saldırı döngülerinin başlarında birden fazla tehdit aktörünü bozmada hayati bir adım olmaya devam etmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!