Siber güvenlik dünyasının yakından tanıdığı Scattered Spider grubu, yapılan yeni bir analizle yeniden tanımlandı. Group-IB tarafından 7 Haziran'da yayımlanan rapora göre, bu oluşum tek bir organize tehdit grubundan ziyade, bağımsız kümelerden oluşan merkezi olmayan bir siber suç kolektifi. Bu bulgu, Scattered Spider'a atfedilen saldırıların, bazı üyelerin tutuklanmasına rağmen neden devam ettiğini açıklıyor. Geleneksel bakış açısının aksine, farklı aktörler aynı taktikleri, araçları ve toplulukları paylaşıyor ancak operasyonlarını ayrı yürütüyor. 0ktapus, Muddled Libra, Octo Tempest ve UNC3944 gibi isimlerle de anılan bu kolektif, 2022'den bu yana birçok yüksek profilli olayla ilişkilendirilmişti.
Group-IB'in araştırması, Scattered Spider'ın merkezi bir hiyerarşi veya ortak liderlik yapısıyla çalışmadığını vurguluyor. Bunun yerine, oluşum ortak teknikler, araçlar ve çevrimiçi topluluklar aracılığıyla bağlanan daha küçük kümelerden oluşuyor. Analistler, bu yapıyı Anonymous hacktivist kolektifine benzetiyor; burada ayrı gruplar doğrudan koordinasyon olmaksızın ortak bir kimlik altında faaliyet gösteriyor. Ayrıca rapor, daha önce Scattered Spider'a atfedilen bazı faaliyetlerin aslında ilgisiz aktörler tarafından gerçekleştirilmiş olabileceğini belirtiyor. Group-IB, özellikle 0ktapus takibini Marks & Spencer ve Co-op saldırılarıyla ilişkili kümelerden ayırarak, aynı kişiler tarafından yönetildiklerine dair kanıt bulunmadığını ifade ediyor.
Gözlemlenen kümeler arasında tekrarlayan hedefleme desenleri tespit edildi. Bunlar arasında teknoloji ve iletişim şirketlerindeki çalışanların erişim noktası olarak kullanılması, SIM takas operasyonları için mobil operatör personelinin hedef alınması, dolandırıcılık kampanyalarıyla kripto para kullanıcılarının hedeflenmesi ve gasp ile fidye yazılımı faaliyetleri için kurumsal ağların ele geçirilmesi yer alıyor. Bu desenler, kolektifin farklı kümelerinin benzer stratejiler izlediğini ancak bağımsız hareket ettiğini gösteriyor.
Sosyal mühendislik, Scattered Spider faaliyetlerinin ortak noktası olmaya devam ediyor. Saldırganlar sıklıkla BT, güvenlik veya insan kaynakları ekiplerini taklit ederek çalışanları kimlik bilgilerini veya erişim izinlerini vermeye ikna ediyor. Araştırmada, saldırganların Okta, Microsoft, Citrix ve Google gibi kimlik sağlayıcılarını taklit eden kimlik avı sayfaları kullandığı tespit edildi. Ayrıca bazı kümeler, kurumsal ağ ihlallerini kripto para hırsızlığı operasyonlarıyla birleştiriyor. Çalınan kimlik bilgileri, SIM takas ve kimlik avı kampanyalarıyla kripto para kullanıcıları hedeflenirken, aynı anda kuruluşların ağlarına sızarak potansiyel kurbanlar hakkında istihbarat toplanıyor.
Rapor, bazı kümelerin AnyDesk gibi ticari uzaktan erişim araçlarını kullandığını ve telekomünikasyon şirketlerinde içeriden yardım alarak yetkisiz erişim sağladığını belirtiyor. Bu durum, Scattered Spider'ın esnek ve uyarlanabilir yapısını bir kez daha ortaya koyuyor. Group-IB, Scattered Spider'ın merkezi olmayan doğası nedeniyle bireysel üyelere yönelik tutuklamaların daha geniş tehdidi ortadan kaldırmasının beklenmemesi gerektiği sonucuna varıyor. Bunun yerine kuruluşlar, kümeler arasında paylaşılan taktiklere, özellikle kimlik tabanlı saldırılara ve sosyal mühendislik girişimlerine karşı savunmaya odaklanmalıdır.
Bu yeni sınıflandırma, siber güvenlik uzmanlarının Scattered Spider tehdidini anlama ve onunla mücadele etme şeklini değiştirebilir. Artık tek bir grubun peşine düşmek yerine, benzer taktikleri kullanan bir ekosistemle karşı karşıya olduğumuzun bilincinde olmak gerekiyor. Kuruluşların, çalışanlarını sosyal mühendislik saldırılarına karşı eğitmesi, çok faktörlü kimlik doğrulamayı zorunlu kılması ve şüpheli oturum açma etkinliklerini izlemesi hayati önem taşıyor. Ayrıca, kimlik avı simülasyonları ve düzenli güvenlik farkındalık eğitimleri, bu tür saldırıların başarı oranını düşürebilir.
Kaynak: infosecurity-magazine.com