Küresel Polis Operasyonu, Cobalt Strike ile Bağlantılı 600 Siber Suç Sunucusunu Kapattı
MORPHEUS kod adlı koordineli bir kolluk kuvveti operasyonu, siber suçlu grupları tarafından kullanılan ve Cobalt Strike aracıyla ilişkili bir saldırı altyapısının parçası olan 600'e yakın sunucuyu düşürdü.
Europol'e göre, baskı, 24-28 Haziran tarihleri arasında Cobalt Strike kırmızı takım çerçevesinin daha eski, lisanssız versiyonlarını hedef aldı.
Suç faaliyetleriyle ilişkili olarak 27 ülkedeki çevrimiçi hizmet sağlayıcılara işaretlenen 690 IP adresinden 590'ına artık erişilemiyor.
2021'de başlayan ortak operasyon, Birleşik Krallık Ulusal Suç Ajansı (NCA) tarafından yönetildi ve Avustralya, Kanada, Almanya, Hollanda, Polonya ve ABD'den yetkililer Bulgaristan, Estonya, Finlandiya, Litvanya, Japonya ve Güney Kore'den yetkililer ek destek sağladı.
Cobalt Strike, Fortra (eski adıyla Help Systems) tarafından geliştirilen ve BT güvenlik uzmanlarına güvenlik operasyonlarındaki ve olay yanıtlarındaki zayıflıkları belirlemenin bir yolunu sunan popüler bir düşman simülasyonu ve sızma testi aracıdır.
Bununla birlikte, daha önce Google ve Microsoft tarafından gözlemlendiği gibi, yazılımın crackli sürümleri, istismar sonrası amaçlar için defalarca kötüye kullanan kötü niyetli aktörlerin eline geçti.
SecureWorks'ün tehdit istihbaratından sorumlu başkan yardımcısı Don Smith, paylaşılan bir açıklamada, "Cobalt Strike, siber suçluların ve ulus devlet aktörlerinin İsviçre çakısı" dedi.
"Cobalt Strike, fidye yazılımlarının öncüsü de dahil olmak üzere uzun süredir siber suçlular için tercih edilen bir araç olmuştur. Ayrıca, siber casusluk kampanyalarına izinsiz girişleri kolaylaştırmak için Rus ve Çin gibi ulus devlet aktörleri tarafından da konuşlandırılır. Bir dayanak noktası olarak kullanıldığında, kurbanlara kalıcı arka kapı sağlamada oldukça etkili olduğu kanıtlanmıştır."
Trellix tarafından paylaşılan veriler, ABD, Hindistan, Hong Kong, İspanya ve Kanada'nın Cobalt Strike kullanan tehdit aktörleri tarafından hedef alınan ülkelerin %70'inden fazlasını oluşturduğunu gösteriyor. Cobalt Strike altyapısının çoğunluğu Çin, ABD, Hong Kong, Rusya ve Singapur'da barındırılıyor.
Palo Alto Networks Unit 42'nin yakın tarihli bir raporuna göre, aracı içeren saldırılar, tespit edilmekten kaçınmak amacıyla Beacon'ın web trafiğinin özelliklerini değiştirmek için Dövülebilir C2 adlı metin tabanlı profilleri kullanan Beacon adlı bir yükü kullanıyor.
NCA'nın tehdit liderliği direktörü Paul Foster yaptığı açıklamada, "Cobalt Strike meşru bir yazılım parçası olmasına rağmen, ne yazık ki siber suçlular kötü amaçlar için kullanımını istismar etti" dedi.
"Yasa dışı sürümleri, siber suçlara giriş engelini azaltmaya yardımcı oldu ve çevrimiçi suçluların çok az teknik uzmanlığa sahip veya hiç teknik uzmanlık olmadan zarar verici fidye yazılımı ve kötü amaçlı yazılım saldırılarını serbest bırakmasını kolaylaştırdı. Bu tür saldırılar, şirketlere kayıplar ve geri kazanım açısından milyonlara mal olabilir."
Gelişme, İspanyol ve Portekiz kolluk kuvvetlerinin, banka çalışanları gibi davranarak ve hesaplarıyla ilgili bir sorunu düzeltme kisvesi altında kişisel bilgilerini vermeleri için kandırarak kimlik avı planları yoluyla yaşlı vatandaşlara karşı suç işlemekten 54 kişiyi tutuklamasıyla geldi.
Ayrıntılar daha sonra, kurbanların evlerini habersiz ziyaret edecek ve kredi kartlarını, PIN kodlarını ve banka bilgilerini vermeleri için baskı yapacak olan suç ağının diğer üyelerine iletildi. Bazı örnekler ayrıca nakit ve mücevher hırsızlığını da içeriyordu.
Suç planı nihayetinde kötü niyetli kişilerin hedeflerin banka hesaplarının kontrolünü ele geçirmesine veya ATM'lerden yetkisiz nakit para çekmesine ve diğer pahalı satın alımlara izin verdi.
Europol bu haftanın başlarında yaptığı açıklamada, "Sahte telefon görüşmeleri ve sosyal mühendisliğin bir karışımını kullanarak, suçlular 2.500.000 € zarardan sorumludur" dedi.
"Fonlar, dolandırıcılar tarafından kontrol edilen çok sayıda İspanyol ve Portekiz hesabına yatırıldı ve buradan ayrıntılı bir kara para aklama planına yönlendirildi. Örgütün uzman üyeleri tarafından denetlenen geniş bir para katırları ağı, yasadışı fonların kaynağını gizlemek için kullanıldı."
Tutuklamalar ayrıca, INTERPOL tarafından Laos da dahil olmak üzere birçok ülkede insan kaçakçılığı çetelerini dağıtmak için üstlenilen benzer eylemleri takip ediyor, burada birkaç Vietnam vatandaşı yüksek ücretli iş vaadiyle cezbedildi, ancak finansal dolandırıcılık için sahte çevrimiçi hesaplar oluşturmaya zorlandı.
Ajans, "Mağdurlar 12 saatlik iş günü çalıştılar, başkalarını işe almazlarsa 14 saate uzatıldı ve belgelerine el konuldu" dedi. "Aileler, Vietnam'a dönüşlerini güvence altına almak için 10.000 ABD dolarına kadar zorla alındı."
Geçen hafta INTERPOL, çevrimiçi dolandırıcılık ve organize suç ağlarını bozmak için yürütülen 61 ülkeyi kapsayan küresel bir polis operasyonunun ardından 257 milyon dolar değerinde varlığa el koyduğunu ve 6.745 banka hesabını dondurduğunu söyledi.
İlk Işık Operasyonu olarak adlandırılan tatbikat, kimlik avı, yatırım dolandırıcılığı, sahte çevrimiçi alışveriş siteleri, romantizm ve kimliğe bürünme dolandırıcılıklarını hedef aldı. 3.950 şüphelinin tutuklanmasına yol açtı ve tüm kıtalarda 14.643 olası şüpheli tespit edildi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı