Microsoft, Dağınık Örümcek'in SIM Değişiminden Fidye Yazılımına Genişlediği Konusunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

Microsoft, Dağınık Örümcek'in SIM Değişiminden Fidye Yazılımına Genişlediği Konusunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

Grup tarafından gerçekleştirilen ilk saldırılar, SIM takaslarını diğer suçlulara satmak ve kripto para hırsızlığı için yüksek net değere sahip kişilerin hesaplarını ele geçirmek amacıyla erişimden para kazanma aşamasına geçmeden önce SIM takaslarını başlatmak için mobil telekomünikasyon sağlayıcılarını ve iş süreci dış kaynak (BPO) kuruluşlarını hedef aldı saldırı modeli


26 Ekim 2023Haber odasıSiber Tehdit / Sosyal Mühendislik

Olarak bilinen üretken tehdit aktörü Dağınık Örümcek Normal işe alma süreçlerine ve devralma hesaplarına uyum sağlamak ve dünya çapındaki organizasyonları ihlal etmek için hedeflenen firmalarda yeni işe alınan çalışanların kimliğine bürünüldüğü gözlemlenmiştir BİR AiTM kimlik avı araç setiveya FIDO2 jetonlarını kaldırın ”



siber-2

” söz konusu Bu aktörler, mağdurları kurumsal erişim için kimlik bilgilerini paylaşmaya zorlamak amacıyla ev adresleri ve aile adları gibi kişisel bilgilerin yanı sıra fiziksel tehditleri de kullanıyor “

Başarılı bir tutunma ortamını, saldırganların ortamı keşfetmesi ve ayrıcalık yükseltmesi takip eder; ikincisi çalıntı parola politikası prosedürleri, kullanıcı, grup ve rol aktarımlarının toplu olarak indirilmesi yoluyla gerçekleştirilir

Diğer yaklaşımlar, bir çalışanın kimlik bilgilerini ve/veya oturum belirteçlerini suç yeraltı pazarında satın almayı veya kişiyi doğrudan ve sosyal olarak kullanıcıyı arayarak Uzaktan İzleme ve Yönetim (RMM) yardımcı programını kurmasını veya sahte bir oturum açma portalını ziyaret etmesini gerektirir

Şirket, “Octo Tempest, ortadaki rakip (AiTM) tekniklerini, sosyal mühendisliği ve SIM değiştirme yeteneklerini belirgin bir şekilde öne çıkaran geniş kapsamlı kampanyalar başlatmasıyla tanınan, anadili İngilizce konuşan tehdit aktörlerinden oluşan, mali açıdan motive olmuş bir kolektiftir

Octo Tempest, o zamandan bu yana hedeflemesini e-posta ve teknoloji servis sağlayıcıları, oyun, konaklama, perakende, yönetilen hizmet sağlayıcıları (MSP’ler), üretim, teknoloji ve finans sektörlerini içerecek şekilde çeşitlendirdi ve aynı zamanda BlackCat fidye yazılımı çetesinin bir üyesi olarak 2020 ortalarında ortaya çıktı

Başka bir deyişle, saldırıların nihai hedefi, kripto para hırsızlığı ile gasp ve fidye yazılımı dağıtımı için veri sızdırma arasında değişmektedir

En önemli özelliklerden biri, ayrıcalıklı hesaplara ilk erişim elde etmek için sosyal mühendislik saldırıları yoluyla destek ve yardım masası personelinin hedef alınması, kurbanın parolasının ve çok faktörlü kimlik doğrulama (MFA) yöntemlerinin sıfırlanması için onları kandırılmasıdır Kurbanlara şantaj yapmak için 2023

Octo Tempest tarafından kullanılan geniş araç ve taktik cephaneliği, kontrolleri atlamak için aktör kontrollü cihazları cihaz yönetimi yazılımına kaydetme ve MFA’nın MFA’yı atlatmaya yönelik tatmin edici iddialarla toplanan tokenleri yeniden oynatması da dahil olmak üzere, kapsamlı teknik uzmanlığının ve karmaşık gezinme yeteneğinin göstergesidir Redmond, hibrit ortamların olduğunu söyledi

“2022’nin sonlarından 2023’ün başlarına kadar, […] Microsoft, Octo Tempest’in, izinsiz giriş operasyonları sırasında çalınan veriler için mağdur kuruluşlardan şantaj yaparak ve hatta bazı durumlarda fiziksel tehditlere başvurarak izinsiz girişlerden para kazanmaya başladığını söyledi

Şirket ayrıca şöyle açıkladı: “Octo Tempest’in kullandığı benzersiz bir teknik, VMware ESXi altyapısından ödün vermek, açık kaynaklı Linux arka kapısı Bedevil’i kurmak ve ardından barındırılan sanal makinelere karşı rastgele komutlar çalıştırmak için VMware Python komut dosyalarını başlatmaktır

Octo Tempest tarafından temsil edilen faaliyetin, Okta’yı yüksek izinler elde etmek ve hedeflenen ağlara sızmak için defalarca seçen 0ktapus, Scatter Swine ve UNC3944 gibi çeşitli isimler altında diğer siber güvenlik şirketleri tarafından takip edildiğini belirtmekte fayda var

Finansal motivasyona sahip bilgisayar korsanlığı ekibinin faaliyetlerini açıklayan Microsoft, saldırganı “en tehlikeli mali suç gruplarından biri” olarak tanımlayarak operasyonel akıcılığını ve SMS kimlik avı, SIM değiştirme ve yardım masası sahtekarlığını kendi faaliyetlerine dahil etme becerisini dile getirdi

“Nadir durumlarda, Octo Tempest korku tacirliği taktiklerine başvuruyor, telefon görüşmeleri ve mesajlar yoluyla belirli bireyleri hedef alıyor

Dikkate değer bir diğer ticari yöntem, satıcılardan gelen e-postaların otomatik olarak silinmesi için güvenlik personeli posta kutusu kurallarının değiştirilmesine ek olarak, radarın altından uçmak amacıyla işleyen güvenlik ürünlerini bozmak için mağdur kuruluşlar içindeki güvenliği ihlal edilmiş güvenlik personeli hesaplarının kullanılmasıdır