Siber güvenlik ortamı, 39 büyük şirkete ait hassas bilgileri içeren bir veri sızıntısı sitesi başlatan karmaşık bir fidye yazılımı topluluğu olan Trinity of Chaos’un ortaya çıkmasıyla sarsıldı.
Muhtemelen kötü şöhretli Lapsus$, Scattered Spider ve ShinyHunters gruplarının üyelerinden oluşan bu müthiş ittifak, siber suç organizasyonu ve operasyonel yeteneklerde önemli bir evrimi temsil ediyor.
Grup, etkilerini ve finansal getirilerini en üst düzeye çıkarmak için geleneksel fidye yazılımı taktiklerini veri gaspı metodolojileriyle birleştirerek kendisini stratejik olarak hibrit bir tehdit aktörü olarak konumlandırdı.
Kaosun Üçlüsü topluluğu, modern fidye yazılımı gruplarının yerleşik taktiklerini takip ederek TOR ağında özel bir Veri Sızıntı Sitesi (DLS) kurarak olağanüstü bir operasyonel gelişmişlik sergiledi.
Grup, yeni saldırıları duyurmak yerine, daha önce açıklanmayan başarılı ihlalleri ortaya çıkarmayı, iddialarını doğrulamak ve kurbanlara uymaları için baskı yapmak amacıyla çalınan veri örneklerini paylaşmayı tercih etti.
Bu yaklaşım, bir yandan operasyonel güvenliği korumak, diğer yandan da kamuya açık verilerin ifşa edilmesi tehdidi yoluyla hedefleri üzerindeki baskıyı en üst düzeye çıkarmak için tasarlanmış hesaplanmış bir strateji önermektedir.
Grubun Salesforce örneklerinden daha önce yararlanmasının ardından, etkilenen şirketlere ültimatomlar vererek, müzakere taleplerinin karşılanmaması durumunda büyük miktarda verinin açıklanacağı tehdidinde bulundular.
Güvenlik analistleri, grubun gösterişli pazarlama yaklaşımını belirlediler; grup kendilerini dünya çapında otomotiv, finans, sigorta, teknoloji ve telekomünikasyon sektörleri de dahil olmak üzere birçok sektörü kapsayan “yüksek değerli kurumsal veri toplama ve stratejik ihlal operasyonlarında” uzman olarak tanımladı.
Tehdit aktörleri, operasyonlarının 2019 gibi erken bir tarihte başladığını belirterek, geniş deneyime ve köklü bir operasyonel altyapıya işaret ediyor.
Kaos Üçlüsü ihlalinin kapsamı, farklı sektörlerdeki Fortune 100 şirketlerini kapsayan kurbanlarla eşi benzeri görülmemiş bir boyuta ulaştı.
Ele geçirilen kuruluşlar arasında büyük teknoloji devleri Google ve Cisco’nun yanı sıra Toyota Motor Corporation, FedEx, Disney/Hulu, Home Depot, Marriott, McDonald’s ve diğer birçok yüksek profilli kuruluş gibi bilinen isimler de öne çıkıyor.
Grup, geleneksel fidye yazılımı operasyonlarına benzer psikolojik baskı taktikleri kullanarak çoğu kurban için müzakere için son tarih olarak 10 Ekim’i belirledi ve kurallara uymayan kuruluşlara karşı cezai ihmal suçlamalarıyla sonuçlanabilecek düzenleyici raporlama tehdidinde bulundu.
Gelişmiş Sosyal Mühendislik Yoluyla Salesforce Altyapısından Yararlanma
Trinity of Chaos topluluğu, Salesloft Drift AI sohbet entegrasyonunun tehlikeye atılması yoluyla Salesforce örneklerinin istismar edilmesine odaklanan karmaşık saldırı metodolojilerini gösterdi.
Sızan veri örneklerinin büyük çoğunluğunda özellikle şifre yok ancak önemli miktarda kişisel tanımlayıcı bilgi (PII) bulunuyor; bu da çalınan kayıtların hedeflenen Salesforce ortamlarından kaynaklandığını güçlü bir şekilde gösteriyor.
Grup tarafından kullanılan saldırı vektörleri, Salesloft’un Drift AI sohbet entegrasyonu için özel olarak tasarlanmış OAuth tokenlarının çalınmasıyla birleştirilmiş vishing saldırılarını içeriyor ve bulut platformunun istismarına yönelik oldukça hedefli bir yaklaşımı temsil ediyor.
Bu istismar tekniğinin o kadar etkili olduğu kanıtlandı ki, Federal Soruşturma Bürosu’nun, kuruluşların Salesforce ortamlarına olası sızıntıyı tespit etmek için izlemesi gereken teknik göstergeleri içeren hızlı bir uyarı yayınlamasına neden oldu.
Saldırganların neredeyse üç yıl boyunca tespit edilemediği Vietnam Havayolları vakasında da görüldüğü gibi, grubun kurban ağlarına uzun süre boyunca kalıcı erişimi sürdürme yeteneği, operasyonel güvenlik önlemlerinin karmaşıklığını vurguluyor.
.webp)
Çalınan veriler, hassas müşteri bilgilerini, dahili iletişimleri, sadakat programı ayrıntılarını ve kapsamlı faaliyet geçmişlerini kapsıyor ve tehdit aktörlerine gelecekteki operasyonlar ve sosyal mühendislik kampanyaları için kapsamlı istihbarat sağlıyor.
Kaos Üçlüsü kolektifi, 254 milyon hesap kaydı, 579 milyon iletişim girişi ve 458 milyon dava dosyasını içeren ayrıntılı dökümlerle birlikte 760 şirketi kapsayan 1,5 milyardan fazla kayda sahip olduğunu iddia ediyor.
Bu devasa veri kümesi, UNC6395 ve UNC6040 faaliyetleri de dahil olmak üzere önceki kampanyalardan kaynaklanıyor ve grubun birden fazla saldırı kampanyasında veri toplama ve para kazanma konusundaki sistematik yaklaşımını gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
