Uzmanlar, siber güvenlik şirketi Lares tarafından yakın zamanda derinlemesine bir analizde gelişmiş Kalıcı Tehdit (APT) grubunun stratejilerini taklit etmek için yöntemleri tanımladılar ve işletmelerin rakip işbirliği yoluyla savunmalarını güçlendirmesine izin verdiler.
Lares, siber suç faaliyetlerinde gözlenen gerçek dünya taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) çoğaltarak tehdit öykünmesi konusunda uzmanlaşmıştır.
Dağınık örümcek tarafından düzenlenenler gibi olayları inceleyerek, firma, ağ, uç nokta ve bulut güvenliğini değerlendirmek için kontrollü simülasyonları, olay tepkisinde ve genel duruştaki güvenlik açıklarını tanımlar.
Bu yaklaşım, harekete geçirilebilir zeka sunmak için etik hackleme, kırmızı ekip ve tehdit modellemesini entegre eder, müşterilerin sofistike düşmanları yansıtan sosyal mühendislik, kimlik bilgisi hırsızlığı ve kalıcılık mekanizmalarını içeren uygulamalı senaryoları deneyimlemelerine izin verir.
Dağınık örümcek sofistike operasyonları
Mayıs 2022’de ortaya çıkan finansal olarak motive edilmiş bir apt olan dağınık örümcek, misafirperverlik, perakende, sağlık ve havacılık için genişlemeden önce başlangıçta telekomünikasyon ve iş süreci dış kaynak sektörlerini hedefledi.
ABD ve İngiltere’den 19-22 yaş arası genç, anadili İngilizce konuşan genç üyelerden oluşan grup, sosyal mühendislikte mükemmeldir, SIM değiştirme, kimlik avı ve sistemlere sızma için zayıf doğrulamanın sömürülmesini istihdam eder.
Operasyonel kaos ve fidye ödemelerine neden olan 2023 MGM Resorts ve Caesars eğlence olayları gibi yüksek profilli ihlallerle bağlantılı olarak, dağınık örümcek genellikle Blackcat/Alphv ve Dragonforce gibi fidye yazılımı bağlı kuruluşları için bir başlangıç erişim brokeri olarak hizmet eder.
Takma adları arasında UNC3944 (Mantiant), Octo Tempest (Microsoft) ve diğerleri arasında kötü şöhretlerini yansıtır.
Microsoft Azure, Google Workspace ve AWS gibi bulut platformlarında uzmanlıkla, endüstriler arasında önemli bir risk oluşturmak için teknik yetenekleri aldatıcı taktiklerle birleştiriyorlar.
Taktikler ve öykünme
Grubun saldırı zinciri, LinkedIn gibi platformlardan çalışan yapılarını haritalamak ve ihlal edilen veri kümelerini sömürmek için açık kaynak zekası (OSINT) kullanarak keşifle başlar.
Targetsname-so olarak desenli aldatıcı alanları kaydederler[.]Com veya benzeri, son CISA tavsiyelerinde belirtildiği gibi, içerik dağıtım ağlarından (CDN’ler) ve alan ön planından yararlanıyor.
İlk erişim, itme bombardımanı veya SIM swapları yoluyla MFA bypass’ın yanı sıra, uzaktan erişim araçlarını (sıçanlar) kurmak için smoling, arama ve kimlik avı dahil sosyal mühendisliğe büyük ölçüde dayanmaktadır.
Ayrıcalık yükseltme, AWS konsolu veya MicroBurst gibi araçlarla bulut kimlik hırsızlığı içerir, Stonestop gibi yükleyicileri ve DaCL kötüye kullanımı ve Mimikatz veya Selretsdump aracılığıyla kimlik bilgileri de dahil olmak üzere Active Directory yanlış konfigürasyonlarının sömürülmesini kullanarak kendi savunmasız sürücü (BYOVD) saldırılarınızı getirir.
Savunma kaçakçılığı taktikleri, savunmasız sürücüler aracılığıyla son nokta tespiti ve yanıt (EDR) süreçlerinin sonlandırılması ve gizli yanal hareket için bulut örnekleri oluştururken çalıntı sertifikalarla kötü niyetli ikili dosyaları imzalamayı içerir.
Rapora göre, kimlik bilgisi erişim, NTDS.DIT ekstraksiyonu için ProcDump, LAPS Sömürü ve DCSYNC ile LSASS dökümünü kullanır.
Discovery aşamaları, Azure denetimi için MicroBurst ve düşük profilli keşif için ManageEngine gibi yerel araçlar ile birlikte RushScan veya Advanced Port Scanner gibi tarama araçlarını kullanır.
Yanal hareket, SSO oturumlarından, RDP’yi, trafik yeniden yönlendirme için proxifier’dan yararlanır ve AWS IAM politika kötüye kullanımları ortamlar arasında döner.
Eksfiltrasyon yöntemleri veri hacmine göre değişir: yüksek değerli dosyalar için telgraf, toplu transferler için RCLone ve megasync ve bulut depoları için depolama gezgini.
Lares’in araştırması, bu akışların örgütsel esnekliği test etmek için ilk erişimden eksfiltrasyona erişimden taklit etmeyi, sosyal mühendisliği, bulut yanlış yapılandırmalarını ve ayrıcalık istismarlarını ele almadaki dersleri vurgulamaktadır.
Bu tehditleri proaktif olarak simüle ederek, kuruluşlar reaktif önlemlerden güçlendirilmiş savunmalara geçebilir ve dağınık örümcek gibi gelişen aptlere hazır olmayı sağlayabilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!