Federal Soruşturma Bürosu ve Siber Güvenlik ve Altyapı Güvenlik Ajansı, şimdi Alphv/Blackcat Rus fidye yazılımı operasyonu ile işbirliği yapan gevşek örgü bir hack kolektifi olan dağınık örümcek olarak izlenen kaçak tehdit oyuncusu hakkında bir danışmanlık yayınladı.
0ktapus, Starfraud, UNC3944, dağınık domuz, Octo Tempest ve Muddlu Terazi olarak da bilinen dağınık örümcek, sosyal mühendislikte beceriklidir ve kimlik avı, çok faktörlü kimlik doğrulama (MFA) bombalamasına (hedeflenen MFA yorgunluğu) dayanır ve Sim Swapping'e dayanır. Büyük kuruluşlara ilk ağ erişimini elde edin.
Grup, aynı hacker forumlarını ve telgraf kanallarını sıkça sıkça çeşitli beceri setlerine sahip İngilizce konuşan genç üyeleri (16 yaşından küçük) içerir.
Bazı üyelerin, son zamanlarda medyada geniş bir ilgi gören şiddetli eylemlerde ve siber olaylarda yer alan gevşek örgülü bir topluluk olan "Comm" un bir parçası olduğuna inanılıyor.
Uyumlu bir çete olduğu genel inancının aksine, her saldırıya katılan farklı tehdit aktörleri olan bir bireyler ağıdır. Bu sıvı yapısı, onları izlemeyi zorlaştıran şeydir.
Bununla birlikte, Reuters gazetecilerine göre, FBI grubun en az 12 üyesinin kimliklerini biliyor, ancak hiçbiri henüz suçlanmadı veya tutuklanmadı.
Dağınık örümcek saldırıları, geçen yazdan beri Siber Güvenlik Şirketi Grup-Ib'deki araştırmacıların, aynı yıl Mart ayında başlayan Okta kimlik kimlik bilgilerini ve 2FA kodlarını çalmayı amaçlayan bir dizi saldırı hakkında bir rapor yayınladıkları belgelendi.
Aralık 2022'de Crowdstrike, tehdit oyuncusunu telkosları hedefleyen, üst düzey sosyal mühendislik taktikleri, savunma tersine çevirme ve zengin bir yazılım aracı seti kullanan finansal olarak motive olmuş bir grup olarak profilli yaptı.
Ocak 2023'te Crowdstrike, Dağınık Örümcek'in EDR (uç nokta algılama ve yanıt) güvenlik ürünlerinden algılamadan kaçınmak için BYOVD (kendi savunmasız sürücünüzü getir) yöntemlerini kullandığını keşfetti.
Daha yakın zamanlarda, bu yıl Eylül ayında, MGM Casino ve Caesars Entertainment'a karşı iki yüksek profilli saldırıya, tehdit aktörlerinin Blackcat/Alphv Locker'ı sistemleri şifrelemek için kullandığı dağınık örümcekle ilişkilendirildi.
Tehdit oyuncusunun geçmiş etkinliği, MailChimp, Twilio, Doordash ve Riot Games'e yapılan saldırıları içeriyor.
Onlara Octo Tempest adını veren Microsoft'un Ekim ayında bir raporu, en tehlikeli finansal suç gruplarından biri olduklarını ve hedeflerine ulaşmak için şiddetli tehditlere başvurdukları biliniyor.
Araştırmacıların grubun çeşitli saldırı yöntemleri hakkındaki bulguları, üyelerinin sosyal mühendislik ve hackten farklı siber suç alanlarına uzanan bilgiye sahip olduklarını göstermektedir.
FBI ve CISA Alert, dağınık Spider’ın bir şirketin çalışanlarını, personel olarak poz vererek veya yardımcısı ve hatta doğrudan ağ erişimi sağlamaya kandırarak hedeflemeyi içeren güçlü başlangıç erişim taktiklerini vurgular.
Bireysel taktikler arasında telefon görüşmeleri, SMS kimlik avı, e -posta kimlik avı, MFA yorgunluk saldırıları ve SIM değiştirme bulunur. E -posta ve SMS kimlik avı için kullanılan alanlar, OKTA ve Zoho Serviceesk markalarını kötüye kullanırlar.
Ağda bir dayanak kurduktan sonra, Dağınık Örümcek, keşif ve yanal hareket için bir dizi halka açık yazılım aracı kullanır:
Kötü niyetli amaçlar için kullanılan yukarıdaki meşru araçların yanı sıra, dağınık örümcek, saldırıda faydalı olan sistem giriş bilgileri, çerez ve diğer verilerden çalmak için Warzone Rat, Raccoon Stealer ve Vidar Stealer gibi kötü amaçlı yazılımları kurmak için kimlik avı saldırıları yapar.
Tehdit grubunun son saldırılarında gözlemlenen yeni bir taktik, ALPHV/Blackcat fidye yazılımı kullanılarak veri açığa çıkması ve dosya şifrelemesi, ardından fidye ödemesini müzakere etmek için bir mesajlaşma uygulaması, e -posta veya diğer güvenli araçlar aracılığıyla kurbanlar ile iletişimdir.
Blackcat ile bağlantılı dağınık örümcek aktörlerinin, fidye yazılımı çetesinin veri sızıntı sitesini, Reddit'e saldırılarında olduğu gibi, veri sızdırdıkları veya açıklamaları yayınladıkları gasp denemelerinin bir parçası olarak kullandıkları bilinmektedir.
Dağınık örümcek, kaynak kodu depoları, kod imzalama sertifikaları ve kimlik bilgisi depolama gibi değerli varlıklara özel ilgi gösterir.
Ayrıca, saldırganlar kurbanın gevşek kanallarını, Microsoft ekiplerini ve Microsoft Exchange e -postalarını, faaliyetlerinin keşfedildiğine dair herhangi bir gösterge içeren mesajlar için yakından izliyor.
“Tehdit aktörleri, güvenlik ekiplerinin onları nasıl avladığını belirleyecek ve mağdur savunmalarına yanıt olarak proaktif olarak yeni izinsiz giriş yollarını geliştirmek için olay iyileştirme ve müdahale çağrıları ve telekonferanslara sık sık katılıyor” - Federal Soruşturma Bürosu
Ajans, siber suçluların bunu, yanlış bir meşruiyet duygusu için genellikle sahte sosyal medya profillerine sahip olan "çevrede yeni kimlikler yaratarak" başardıklarını ekliyor.
FBI ve CISA, dağınık örümcek tarafından uygulanan tehditlere karşı korunmak için belirli hafifletmeler uygulamasını önermektedir.
Danışmanlıktaki temel öneriler aşağıdakileri önerir:
Son olarak, kuruluşların güvenlik kontrollerini danışmanlıkta açıklanan MITER ATT & CK tekniklerine karşı test etmeleri ve doğrulamaları tavsiye edilir.
FBI ve CISA fırsatçı Rhysida fidye yazılımı saldırılarına uyuyor
FBI: Royal Ransomware 350 kurbandan 275 milyon dolar ödemesini istedi
Microsoft: Octo Tempest en tehlikeli finansal hack gruplarından biridir
CISA, FBI yöneticileri hemen Atlassian Confluence Patch'e çağırıyor
FBI, Avoslocker Fidye Yazılımı Teknik Ayrıntıları, Savunma İpuçlarını paylaşıyor
Kaynak: Bleeping Computer