Mali odaklı bir tehdit grubu olan UNC3944, kimlik bilgileri kazanmak ve hedef kuruluşlara erişimi artırmak için sıklıkla telefon tabanlı sosyal mühendislik ve SMS kimlik avı saldırılarından yararlanıyor.
Bilgisayar korsanlığı grubunun konaklama, perakende, medya ve eğlence, finansal hizmetler, telekomünikasyon ve iş süreci dış kaynak (BPO) firmaları da dahil olmak üzere çok çeşitli işletmeleri hedef aldığı gözlemlendi.
Mandiant’a göre grubun coğrafi çeşitliliği nedeniyle, büyük miktardaki gizli verileri gasp amacıyla çalma konusunda daha fazla yoğunlaşma görüldü ve Batı’nın ticari uygulamalarına aşina oldukları görülüyor.
Ayrıca UNC3944, darknet forumlarından satın alınabilecek ücretsiz olarak erişilebilen araçları, yasal yazılımları ve kötü amaçlı yazılımları rutin olarak kullanmıştır.
Taktikler, Teknikler ve Prosedürler (TTP’ler)
UNC3944, kurbanlarına ilk erişim sağlamak için esas olarak sosyal mühendisliğe dayanıyor. Düzenli olarak kurban yardım masalarını arıyorlar ve şifreleri değiştirmek veya çok faktörlü bypass kodlarını almak için SMS kimlik avı operasyonlarını kullanıyorlar.
Özellikle güvenlik izleme teknolojileri tarafından tespit edilmekten kaçınmak amacıyla tehdit aktörleri, kurbanlarına aynı mahalleden ulaşmak için ticari, mesken proxy hizmetleri kullandı.
Cyber Security News ile paylaşılan bilgiye göre, “Tehdit aktörleri son derece yüksek bir operasyonel tempoyla çalışıyor, kritik sistemlere erişiyor ve birkaç gün içinde büyük miktarda veriyi dışarı çıkarıyor.”
Parola yöneticilerine veya ayrıcalıklı erişim yönetimi sistemlerine odaklanmak, ayrıcalık yükseltmeyi başarır.
Tehdit aktörleri, özellikle fidye yazılımı dağıtırken, kurbana mümkün olduğunca fazla zarar vermek için iş açısından kritik sanal makineleri ve diğer sistemleri hedef alma eğilimindedir.
Trustifi’nin yapay zeka destekli e-posta güvenlik çözümüyle İş E-postanızı izleme, engelleme, değiştirme, kimlik avı, hesap ele geçirme, iş e-postasının ele geçirilmesi, kötü amaçlı yazılım ve fidye yazılımı gibi tehditlere karşı koruyun.
Ücretsiz demo
Ayrıca, mağdurlarla etkileşime geçmek için bilgisayarlardaki metin dosyalarına tehdit notları göndermek, yöneticilere e-posta ve SMS mesajları göndermek ve mağdurların sorunlara yanıt vermek için kullandıkları kanalları hacklemek dahil olmak üzere agresif iletişim tekniklerini kullanıyorlar.
Araştırmacılar, “tehdit aktörlerinin zamanla ticari becerilerini geliştirmeye devam edeceklerini ve operasyonlarının etkinliğini artırmak için yeraltı topluluklarından destek alabileceklerini” belirtiyor.
“Gelecekte karlarını en üst düzeye çıkarmak için diğer fidye yazılımı markalarını kullanabilirler ve/veya ek para kazanma stratejileri ekleyebilirler”.
Öneri
- Microsoft Authenticator’ı numara eşleştirmeyle zorunlu kılın ve MFA doğrulama seçeneği olarak SMS’i silin.
- Kullanıcıları güvenilir bir ağ konumundan kimlik doğrulaması yapmaya zorlayarak ve/veya cihaz uyumluluğunu garanti ederek MFA ve SSPR kaydının güvenliğini sağlayın.
- Kullanıcıların güvenilir bir ağ konumundan kimlik doğrulaması yapmalarını ve/veya cihaz uyumluluğunu sağlamalarını zorunlu kılarak Microsoft Azure ve Microsoft 365 yönetim özelliklerine harici erişimi kısıtlayan bir Koşullu Erişim Politikası oluşturun.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.