Scattered Spider: Siber Suç Dünyasında Dağınık Bir Kolektif Siber Güvenlik

Scattered Spider: Siber Suç Dünyasında Dağınık Bir Kolektif

Scattered Spider, merkezi olmayan yapısıyla bağımsız kümelerden oluşan bir siber suç kolektifi olarak yeniden tanımlandı. Güvenlik firmaları, grubun t...

Siber güvenlik alanında önemli bir analiz yayınlayan Group-IB, Scattered Spider'ın (diğer adlarıyla 0ktapus, Muddled Libra, Octo Tempest ve UNC3944) tek bir organize tehdit grubu değil, merkezi olmayan bir siber suç kolektifi olduğunu ortaya koydu. 7 Haziran'da yayınlanan araştırmaya göre, bu yapı birbirinden bağımsız hareket eden ancak aynı taktikleri, araçları ve çevrimiçi toplulukları paylaşan küçük kümelerden oluşuyor. Bu model, gruba atfedilen faaliyetlerin bazı üyelerin tutuklanmasına rağmen neden devam ettiğini de açıklıyor.

Group-IB, Scattered Spider'ın Anonymous hacktivist kolektifine benzer bir yapıya sahip olduğunu belirtiyor: ayrı gruplar doğrudan koordinasyon olmaksızın ortak bir kimlik altında faaliyet gösteriyor. Araştırma, daha önce Scattered Spider'a atfedilen bazı saldırıların aslında ilgisiz aktörler tarafından gerçekleştirilmiş olabileceğine de dikkat çekiyor. Özellikle, 0ktapus olarak izlenen küme ile Marks & Spencer ve Co-op saldırılarıyla ilişkilendirilen küme arasında doğrudan bir bağlantı olmadığı vurgulanıyor.

Kümeler arasındaki farklılıklara rağmen, sosyal mühendislik Scattered Spider faaliyetlerinin ortak noktası olarak öne çıkıyor. Saldırganlar, BT, güvenlik veya insan kaynakları ekiplerini taklit ederek çalışanları kimlik bilgilerini veya erişim izinlerini vermeye ikna ediyor. Okta, Microsoft, Citrix ve Google gibi kimlik sağlayıcılarını taklit eden kimlik avı sayfaları yaygın olarak kullanılıyor. Ayrıca, bazı kümelerin kurumsal ihlaller ile kripto para hırsızlığını birleştirdiği, çalıntı kimlik bilgileri, SIM değiştirme ve kimlik avı kampanyalarıyla kripto para kullanıcılarını hedef aldığı gözlemlendi.

Gelecekte Ne Bekleniyor?

Group-IB, Scattered Spider'ın merkezi olmayan doğasının, bireysel üyelerin tutuklanmasının daha geniş tehdidi ortadan kaldırmasının pek mümkün olmadığı anlamına geldiğini belirtiyor. Bunun yerine, kuruluşların kümeler arasında paylaşılan ortak taktiklere, özellikle de kimlik tabanlı saldırılara ve sosyal mühendislik girişimlerine karşı savunmaya odaklanması gerekiyor. Araştırma, saldırganların AnyDesk gibi ticari uzaktan erişim araçlarını kullandığını ve telekomünikasyon şirketlerinde yetkisiz erişime yardımcı olması için içeriden kişileri işe aldığını da ortaya koydu.

Paylaş: