Dağınık örümcek olarak bilinen gruba bağlı finansal olarak motive edilmiş bir tehdit aktörü olan UNC3944, telekomünikasyon organizasyonlarını hedefleyen niş SIM değiştirme operasyonlarından, fidye yazılımı ve veri hırsızlığı gaspına daha agresif bir odaklanmaya geçti.
Başlangıçta, teknoloji, finansal hizmetler, iş süreci dış kaynak kullanımı, oyun, misafirperverlik, perakende ve medya ve eğlence gibi sektörleri etkileyen fidye yazılımı kampanyaları dağıtmak için 2023’ün başlarında döndürülen UNC3944’ün SIM swaplarını kolaylaştırmak için telekom güvenlik açıklarından yararlanmayı gözlemledi.
Bu değişim, grubun 2023’ün sonlarında finansal hizmetlere karşı kayda değer kampanyalar ve Mayıs 2024’te gıda hizmetlerinin yanı sıra, prestij ve medya ilgisi için seçilen yüksek profilli markaların yanı sıra hedefli saldırı dalgaları yürüttüğünü gördü.
.png
)
Mağdurları, ABD, Kanada, İngiltere ve Avustralya gibi İngilizce konuşulan ülkelerde büyük işletmelerin tercihini ortaya koyuyor ve son zamanlarda Singapur ve Hindistan’a genişlemeler, kapsamlı yardım masasına sahip kuruluşlara odaklanıyor ve dış kaynaklardan kaynaklanıyor.
Kolluk etkisi ve ortaya çıkan tehditler
İddia edilen ortaklara karşı 2024 kolluk eyleminin ardından faaliyette geçici bir düşüşe rağmen, UNC3944’ün siber suç ekosistemi içindeki derin bağları, muhtemelen yeni ortaklıklar veya algılamadan kaçınmak için hızlı iyileşme potansiyeli olduğunu düşündürmektedir.
Son halka açık raporlar, dağınık örümcek ile tutarlı taktiklerin İngiltere perakende kuruluşlarına yönelik saldırılarda kullanıldığını, Dragonforce fidye yazılımını konuşlandırarak, birden fazla girişimde bulunan ihlallerin sorumluluk iddialarıyla olduğunu göstermektedir.
İlginç bir şekilde, Dragonforce operatörlerinin, UNC3944’ün Alphv (Blackcat) Raas’ın kapanması olan bir bağlı kuruluş olduğu Mart 2024’te operasyonları durduran bir hizmet olarak fidye yazılımı (RAAS) platformu olan Ransomhub’ın kontrolünü ele geçirdiği bildirildi.
Google Tehdit İstihbarat Grubu (GTIG), UNC3944’ün doğrudan katılımını bağımsız olarak doğrulamamış olsa da, 2025’te% 8,5’lik kurbanların% 11’ine yükselen perakende sektörü mağduriyetinin artan eğilimi, 2024’te% 8,5 artarak, perakende verileri ve daha yüksek bir şekilde, perakende verileri ve daha yüksek bir perakende hedefleri nedeniyle, pericate (PII’nin daha yüksek bir şekilde çekilmesinden dolayı, perication (PII’nin daha yüksek bir şekilde çekilmeleri nedeniyle sık sık kullanışlıdır. İşlem yeteneklerini geri yüklemek için fidye ödeme olasılığı.
Taktik sofistike ve savunma zorunlulukları
UNC3944’ün Arsenal’i, çok faktörlü kimlik doğrulamasını (MFA) atlamak için sofistike taktiklerin yanı sıra yardım masası personelini manipüle etmek için kullanıcıları taklit eden sosyal mühendisliğe dayanıyor ve tehlikeye atılan ortamlardaki ayrıcalıkları arttırıyor.
Saldırı yaşam döngüsü, AdRecon ve Sharphound gibi araçları kullanarak keşif, kullanıcı sağlama ve ağ diyagramları hakkındaki belgeleri hedefleyen keşif içerir.
Bu tehditlere karşı koymak için kuruluşlar, kimlik avına dirençli MFA’yı uygulayarak, yüksek tehdit dönemlerinde self servis şifre sıfırlamalarını devre dışı bırakarak ve kamera kimlik kontrolleri gibi katı doğrulama süreçlerini uygulayarak kimlik güvenliğine öncelik vermelidir.
Ayrıca, cihaz uyumluluk kontrolleri yoluyla uç nokta sertleşmesi, güvenilir hizmet altyapısını korumak için ağ segmentasyonu ve anormal kimlik doğrulama girişimleri için sağlam izleme kritiktir.
UNC3944’ün taklit edilme için Microsoft ekipleri gibi bulut kaynaklarından ve işbirliği platformlarını kullanma yeterliliği, dış alanları kısıtlama, TOR çıkış düğümlerini engelleme ve MFA yorgunluğu ve doxsing tehditleri konusunda personeli eğitmek gibi proaktif önlemler riskleri azaltmak için gereklidir.
Bu tehdit oyuncusu uyum sağlamaya devam ettikçe, kuruluşlar bu gelişen siber tehditlere karşı korunmak için kapsamlı görünürlük ve ayrılmış kimlik kontrollerinden yararlanmalıdır.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir