Mali motivasyona sahip UNC3944 tehdit grubu, geçmişte bilinen fidye yazılımı türlerini kullanmadan, hizmet olarak yazılım uygulamalarından veri hırsızlığı gaspına odaklandı.
0ktapus, Octo Tempest, Scatter Swine ve Scattered Spider olarak da bilinen UNC3944, Mayıs 2022’deki başlangıcından bu yana taktiklerinde önemli ölçüde uyum sağlama yeteneği sergileyen, finansal motivasyona sahip bir tehdit grubudur.
Google’ın sahibi olduğu siber güvenlik şirketi Mandiant’a göre tehdit grubu artık stratejilerini SaaS uygulamalarından veri hırsızlığını içerecek şekilde geliştirdi. Mandiant, veri sızıntısı için bulut senkronizasyon araçlarından, sanallaştırma platformlarına karşı kalıcılık mekanizmalarından ve SaaS izinlerinin kötüye kullanılması yoluyla yanal hareketten yararlandığını söyledi.
Fidye Yazılımı Olmadan Veri Hırsızlığı Gaspı
UNC3944 başlangıçta kimlik bilgisi toplama ve SIM değiştirme saldırılarına odaklandı ancak yıllar geçtikçe fidye yazılımına geçiş yaptı. Mandiant, tehdit grubunun daha ileri bir adım attığını ve artık herhangi bir fidye yazılımı dağıtımı olmadan öncelikli olarak veri hırsızlığına yöneldiğini gösteren kanıtlar buldu.
UNC3944’ün en son saldırı yaşam döngüsü genellikle kurumsal yardım masalarına yönelik sosyal mühendislik teknikleriyle başlar. Mandiant, tehdit grubunun birden fazla durumda ayrıcalıklı hesapları kullanarak ilk erişim elde ettiğini söyledi.
UNC3944 grubu, yardım masalarının kimlik doğrulama süreçlerini atlamak için muhtemelen mağdurların sosyal medya profillerinden alınan Sosyal Güvenlik numaraları, doğum tarihleri ve istihdam ayrıntıları gibi kişisel olarak tanımlanabilir bilgileri (PII) kullandı. Yeni bir telefon almaları nedeniyle parolaları sıfırlamalarına ve ayrıcalıklı hesaplardaki MFA korumalarını atlamalarına olanak tanıyan çok faktörlü kimlik doğrulamanın (MFA) sıfırlanması gerektiğini sıklıkla iddia ettiler.
“Kanıtlar ayrıca UNC3944’ün kurbanın kimlik bilgilerine erişim sağlamak için zaman zaman korku tacirliği taktiklerine başvurduğunu gösteriyor. Bu taktikler arasında kişisel bilgilerin ifşa edilmesi tehdidi, mağdurlara ve ailelerine fiziksel zarar verilmesi ve uygunsuz materyallerin dağıtılması yer alıyor.” – Mandiant
UNC3944’ün Saldırı Yaşam Döngüsünün I. Aşaması
Tehdit grubunun saldırı yaşam döngüsünün ilk aşaması şunları içerir:
- Sosyal mühendislik: UNC3944, yardım masası erişimi elde etmek için kurbanlar üzerinde kapsamlı araştırmalardan yararlanarak karmaşık sosyal mühendislik saldırıları gerçekleştirdi.
- Kimlik Bilgisi Toplama: Kimlik bilgilerini toplamak için SMS kimlik avı kampanyaları kullanıldı.
- İç Keşif: Erişim sağladıktan sonra, VPN’ler, VDI ve uzaktan çalışma yardımcı programları hakkında dahili belgeler toplamak için SharePoint gibi Microsoft uygulamaları üzerinde keşif gerçekleştirdik.
- Ayrıcalık Artışı: Rolleri kendi kendine atamak ve SaaS uygulamalarına daha geniş erişim elde etmek için Okta izinleri kötüye kullanıldı.
Saldırı Yaşam Döngüsünün II. Aşaması
UNC3944’ün saldırı yaşam döngüsünün ikinci aşamasında tehdit grubu, vSphere ve Azure gibi ortamlarda yeni sanal makineler oluşturarak agresif kalıcılık yöntemleri kullandı. Bu makineleri oluşturmak ve tespit edilmekten kaçınmak için Microsoft Defender gibi güvenlik politikalarını devre dışı bırakacak şekilde yapılandırmak için yönetici ayrıcalıklarını kullanırlar.
Uç nokta izleme eksikliği, grubun Mimikatz, ADRecon gibi araçları ve NGROK, RSOCX ve Localtonet gibi çeşitli gizli tünelleme yardımcı programlarını indirerek güvenliği ihlal edilmiş cihaza VPN veya MFA’ya ihtiyaç duymadan erişimi sürdürmesine olanak tanıdı.
UNC3944 daha önce sanal makine dosya sistemlerine Alphv fidye yazılımını dağıtmıştı ancak Mandiant, 2024’ün başından bu yana bu tehdit grubu tarafından fidye yazılımı dağıtımı gözlemlenmediğini söyledi.
Odak SaaS Uygulamalarına Kayıyor
UNC3944’ün hedeflemesindeki yeni değişiklik, daha fazla erişim sağlamak ve keşif yürütmek için SaaS uygulamalarından yararlanmasıdır.
“Mandiant, vCenter, CyberArk, SalesForce, Azure, CrowdStrike, AWS ve GCP gibi uygulamalara erişimi gözlemledi.”
Tehdit grubu herhangi bir SaaS uygulamasına erişim elde ettikten sonra, ortama erişimi test etmek için uç nokta tespit ve yanıt araçlarını kullandı ve verileri saldırganın sahip olduğu bulut depolama alanına sızdırmak için Airbyte ve Fivetran gibi araçları kullandı.
Aşama II’nin İleri Teknikleri
UNC3944 tarafından saldırı yaşam döngüsünün ikinci aşamasında gösterilen ileri tekniklerden bazıları şunlardır:
ADFS Hedefleme: Kalıcı bulut erişimi için Golden SAML saldırıları gerçekleştirmek üzere Active Directory Federasyon Hizmetleri sertifikalarını dışarı aktarma.
Veri Süzülmesi: Verileri SaaS platformlarından harici bulut depolama alanına taşımak için bulut senkronizasyon yardımcı programlarını kullanma.
Uç Nokta Tespiti ve Yanıtı (EDR): Komutları yürütmek ve erişimi daha fazla test etmek için CrowdStrike konsolunda API anahtarlarının oluşturulması.
Adli Önlemler: UNC3944, faaliyetlerini gizlemek için adli tıp karşıtı teknikler kullandı. Sanal makineleri yeniden yapılandırmak, günlüğe kaydetmeyi devre dışı bırakmak ve uç nokta korumalarını kaldırmak için halka açık yardımcı programları kullanırlar. Saldırganlar ayrıca yerel yönetici şifrelerini sıfırlamak ve etki alanı kontrollerini atlamak için PCUnlocker gibi ISO dosyalarını da kullandı.
M365 Delve Özelliğinin Kötüye Kullanımı
Mandiant, Microsoft Office Delve gibi gelişmiş M365 özelliklerinin UNC3944 tarafından erişilebilir veri kaynaklarını açığa çıkarmak amacıyla veri keşfi için kullanıldığını gözlemledi.
Delve, grup üyeliğine veya doğrudan paylaşıma dayalı dosyalara hızlı erişim sunar ve M365 kaynaklarından kişiselleştirilmiş içerik önerileri gösterir ve kurumsal ilişkileri haritalandırır. Bu özellik işbirliği için yararlı olsa da UNC3944, hızlı keşif için Delve’den yararlandı, aktif projeleri ve hassas bilgileri son değişikliklerle belirledi.
Bu kaynaklar genellikle yeterli güvenlik izleme ve günlük kaydına sahip değildir. Güvenlik duvarları ve ağ akış sensörleri gibi geleneksel güvenlik kontrolleri, SaaS platformlarından yapılan büyük veri aktarımlarını tespit etmede etkisizdir. Veri hırsızlığını geleneksel günlüklerle tespit etmek zordur ve gerçek zamanlı tespit, geçmiş günlük analiziyle hala zordur.
Hassas verilerin SaaS uygulamalarında depolanması, SaaS modellerinin algılanan güvenliği nedeniyle sıklıkla gözden kaçırılan önemli riskler oluşturur. UNC3944 bu zayıflıklardan yararlandı ve veri hırsızlığını tespit edilmeden gerçekleştirmek için yetersiz kayıt ve izleme özelliklerinden yararlandı.
Önerilen Azaltma Adımları
Mandiant araştırmacıları, tehdit grubunun taktiklerine karşı korunmak için bir dizi kontrol önerdi:
- Bağlantıların güvenli olmasını sağlamak amacıyla VPN erişimi için ana bilgisayar tabanlı sertifikalar ve MFA uygulayın.
- Daha katı koşullu erişim politikalarına sahip olun ve bulut kiracıları içindeki görünürlüğü ve erişimi sınırlayın.
- Şüpheli etkinlikleri tespit etmek için SaaS uygulamalarından ve sanal makine altyapılarından alınan merkezi günlükler aracılığıyla gelişmiş izleme olanağına sahip olun.
- Kötü niyetli niyet işaretlerini tespit etmek için SaaS uygulamalarına yönelik kapsamlı günlük kaydı sağlayın.