Microsoft, Dağınık Örümcek SIM Takaslarından Fidye Yazılımlarına Genişlerken Uyardı
Dağınık Örümcek olarak bilinen üretken tehdit aktörünün, normal işe alım süreçlerine uyum sağlamak ve hesapları devralmak ve dünya çapındaki kuruluşları ihlal etmek için bir hile olarak hedeflenen firmalarda yeni işe alınan çalışanların kimliğine büründüğü gözlemlendi.
Finansal olarak motive edilmiş bilgisayar korsanlığı ekibinin faaliyetlerini ifşa eden Microsoft, düşmanı "en tehlikeli finansal suç gruplarından biri" olarak nitelendirdi ve operasyonel akışkanlığını ve SMS kimlik avı, SIM değiştirme ve yardım masası dolandırıcılığını saldırı modeline dahil etme yeteneğini ortaya koydu.
Şirket, "Octo Tempest, ortadaki düşman (AiTM) tekniklerini, sosyal mühendisliği ve SIM değiştirme yeteneklerini belirgin bir şekilde öne çıkaran geniş kapsamlı kampanyalar başlatmasıyla tanınan, anadili İngilizce olan tehdit aktörlerinden oluşan, finansal olarak motive olmuş bir kolektiftir" dedi.
Octo Tempest tarafından temsil edilen etkinliğin, diğer siber güvenlik şirketleri tarafından 0ktapus, Scatter Wine ve UNC3944 dahil olmak üzere çeşitli takma adlar altında izlendiğini belirtmekte fayda var.
En önemli özelliklerden biri, ayrıcalıklı hesaplara ilk erişim elde etmek için sosyal mühendislik saldırıları yoluyla destek ve yardım masası personelinin hedef alınması ve kurbanın parolasını sıfırlama ve çok faktörlü kimlik doğrulama (MFA) yöntemlerini gerçekleştirmeleri için kandırılmasıdır.
Diğer yaklaşımlar, bir çalışanın kimlik bilgilerini ve/veya oturum belirteçlerini bir suç yeraltı pazarında satın almayı veya bireyi doğrudan ve sosyal olarak kullanıcıyı bir Uzaktan İzleme ve Yönetim (RMM) yardımcı programı yüklemesi, bir AiTM kimlik avı araç seti kullanarak sahte bir oturum açma portalını ziyaret etmesi veya FIDO2 belirtecini kaldırması için sosyal mühendislik yapmayı gerektirir.
Grup tarafından gerçekleştirilen ilk saldırılar, SIM takaslarını diğer suçlulara satmak için erişimden para kazanmaya ve kripto para hırsızlığı için yüksek net değerli kişilerin hesaplarını ele geçirmeye başlamadan önce, SIM takaslarını başlatmak için mobil telekomünikasyon sağlayıcılarını ve iş süreci dış kaynak kullanımı (BPO) kuruluşlarını hedef aldı.
Octo Tempest o zamandan beri hedeflemesini e-posta ve teknoloji hizmet sağlayıcıları, oyun, konaklama, perakende, yönetilen hizmet sağlayıcıları (MSP'ler), üretim, teknoloji ve finans sektörlerini içerecek şekilde çeşitlendirdi ve aynı zamanda 2023'ün ortalarında kurbanları gasp etmek için BlackCat fidye yazılımı çetesinin bir üyesi olarak ortaya çıktı.
Başka bir deyişle, saldırıların nihai amacı, kripto para hırsızlığı ile gasp ve fidye yazılımı dağıtımı için veri hırsızlığı arasında değişir.
"2022'nin sonlarından 2023'ün başlarına kadar, [...] Octo Tempest, izinsiz giriş operasyonları sırasında çalınan veriler için kurban kuruluşlara şantaj yaparak ve hatta bazı durumlarda fiziksel tehditlere başvurarak izinsiz girişlerden para kazanmaya başladı" dedi.
"Nadir durumlarda, Octo Tempest, telefon görüşmeleri ve metinler yoluyla belirli kişileri hedef alarak korku tellallığı taktiklerine başvurur. Bu aktörler, kurbanları kurumsal erişim için kimlik bilgilerini paylaşmaya zorlamak için fiziksel tehditlerle birlikte ev adresleri ve aile adları gibi kişisel bilgileri kullanıyor."
"2022'nin sonlarından 2023'ün başlarına kadar, [...] Octo Tempest, izinsiz giriş operasyonları sırasında çalınan veriler için kurban kuruluşlara şantaj yaparak ve hatta bazı durumlarda fiziksel tehditlere başvurarak izinsiz girişlerden para kazanmaya başladı" dedi.
"Nadir durumlarda, Octo Tempest, telefon görüşmeleri ve metinler yoluyla belirli kişileri hedef alarak korku tellallığı taktiklerine başvurur. Bu aktörler, kurbanları kurumsal erişim için kimlik bilgilerini paylaşmaya zorlamak için fiziksel tehditlerle birlikte ev adresleri ve aile adları gibi kişisel bilgileri kullanıyor."
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı