Mali Motivasyona Sahip Hackerlar Operasyonları Çeşitlendiriyor
Akşaya Asokan (asokan_akshaya) •
15 Eylül 2023
Mandiant araştırmacıları, esas olarak Telegram ve yer altı forumlarında faaliyet gösteren, finansal motivasyona sahip bir suç örgütünün, çeşitli bulut uygulamalarına fidye yazılımı ve diğer izinsiz giriş yeteneklerini dağıtmak için suç cephaneliklerini genişlettiği konusunda uyarıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Mandiant, UNC3944 olarak takip edilen ve 0ktapus ve Dağınık Örümcek olarak da bilinen suç grubunun, kimlik bilgileri hırsızlığına yönelik mobil sosyal mühendislik kitleri sunarak 2021 yılında faaliyetlerine başladığını söyledi.
Son aylarda grup, geniş kapsamlı izinsiz giriş yetenekleri sunmak için operasyonlarını çeşitlendirdi. Bu, ilk erişimi elde etmek için daha önce görülmemiş kimlik avı taktiklerini, bulut ortamlarında ayrıcalık yükseltmeye yönelik gelişmiş kalıcılık yeteneklerini ve bilgi çalan yazılımların ve fidye yazılımlarının devreye alınmasını içerir.
Grubun fidye yazılımı kampanyası durumunda, UNC3944 bir Alphv varyantı dağıtıyor ve operasyonunun ölçeğini en üst düzeye çıkarmak için kritik sanal makinelerde çalışan kurbanları hedef alıyor. Grubun ayrıca, kumarhane operatörünün çeşitli şubelerinde devam eden hizmet kesintisine neden olan MGM Resorts International saldırısının da arkasında olduğundan şüpheleniliyor (bkz: Caesars Entertainment’ın Saldırganlara Fidye Ödediği Bildirildi).
Mandiant araştırmacıları, “UNC3944, para kazanma stratejilerini başarılı bir şekilde çeşitlendirmek için becerilerini ve taktiklerini genişletmeye devam eden gelişen bir tehdittir” dedi. Tehdit grubunun zamanla tekliflerini geliştirmesi ve operasyonlarının verimliliğini artırmak için daha fazla yer altı korsanıyla bağlantı kurması bekleniyor.
Grubun kullandığı en son kimlik avı kitleri arasında araştırmacıların EightBait adını verdiği bir araç da yer alıyor. Kimlik bilgilerini yakalamak ve bilgisayar korsanlarının kontrolündeki bir Telegram kanalına göndermek için uzak masaüstü uygulaması AnyDesk’i kullanıyor. Raporda, bilgisayar korsanlarının kullandığı başka bir kimlik avı kitinin, firma çalışanlarını kandırarak giriş bilgilerini girmelerini sağlamak amacıyla kurban kuruluşların giriş sayfalarını sıyırdığı belirtiliyor.
Kimlik avı taktiklerine ek olarak grup, kimlik bilgilerini çalmak için HashiCorp gibi şifre kasası yazılım satıcılarını da hedef alıyor.
Saldırganların bulut altyapısını hedeflemek için kullandığı taktiklerden biri, kurbanın müşterilerini Microsoft bulut ortamlarından tanımlamak için birden fazla uygulamada tek oturum açmaya olanak tanıyan birleşik kimliklerdir. Saldırganlar, kimlik doğrulamayı atlamak için sahte SAML sertifikaları kullanarak güvenlik onayı biçimlendirme dili saldırıları gerçekleştirir.
Siber savunucular ayrıca grubun veri ambarları, depolama blobları ve SQL veritabanları gibi çeşitli entegre platformlarda depolanan verileri çalmak için bir veri entegrasyon hizmeti olan Azure Data Factory’yi kullandığını da gözlemledi.