Scattered Spider: Siber Suç Dünyasında Merkezi Olmayan Kolektif Yapı Siber Güvenlik

Scattered Spider: Siber Suç Dünyasında Merkezi Olmayan Kolektif Yapı

Scattered Spider, merkezi bir yapı yerine bağımsız kümelerden oluşan bir siber suç kolektifi olarak yeniden sınıflandırıldı.

Group-IB tarafından yayınlanan yeni bir analiz, Scattered Spider olarak bilinen siber suç grubunun yapısına ilişkin geleneksel görüşü sorguluyor. Güvenlik firması, bu yapılanmanın tek bir organize tehdit grubundan ziyade, bağımsız kümelerden oluşan merkezi olmayan bir siber suç kolektifi olduğunu savunuyor. 7 Haziran'da yayınlanan rapora göre, birçok aktör aynı taktikleri, araçları ve toplulukları paylaşırken, operasyonlarını ayrı ayrı yürütüyor.

Group-IB, bu modelin Scattered Spider'a atfedilen faaliyetlerin, bazı sözde üyelerin tutuklanması ve engelleme çabalarına rağmen neden devam ettiğini açıkladığını belirtti. 0ktapus, Muddled Libra, Octo Tempest ve UNC3944 gibi isimlerle de izlenen grup, 2022'den bu yana birçok yüksek profilli olayla ilişkilendiriliyor. Analiz, Anonymous hacktivist kolektifine benzer şekilde, ayrı grupların doğrudan koordinasyon olmaksızın ortak bir kimlik altında faaliyet gösterdiğini ortaya koyuyor.

Group-IB, Scattered Spider'a atfedilen bazı faaliyetlerin aslında ilgisiz aktörler tarafından gerçekleştirilmiş olabileceğini de belirtti. Firma özellikle 0ktapus takibini, Marks & Spencer ve Co-op saldırılarıyla bağlantılı kümelerden ayırarak, aynı kişiler tarafından yürütüldüğüne dair kanıt bulunmadığını söyledi. Gözlemlenen kümeler arasında ortak hedefleme kalıpları arasında teknoloji ve iletişim şirketleri çalışanlarının erişim noktası olarak kullanılması, SIM swapping operasyonları için mobil operatör personelinin hedef alınması ve kripto para kullanıcılarına yönelik dolandırıcılık kampanyaları yer alıyor.

Sonuç ve Değerlendirme

Farklı kümelere rağmen sosyal mühendislik, Scattered Spider faaliyetlerinde ortak bir unsur olarak öne çıkıyor. Saldırganlar, çalışanları kimlik bilgileri veya erişim sağlamaya ikna etmek için sık sık BT, güvenlik veya insan kaynakları ekiplerini taklit ediyor. Group-IB, saldırganların Okta, Microsoft, Citrix ve Google dahil olmak üzere kimlik sağlayıcılarını taklit eden kimlik avı sayfaları kullandığını tespit etti. Rapor, Scattered Spider'ın merkezi olmayan yapısının, bireysel üyelerin tutuklanmasının daha geniş tehdidi ortadan kaldırmasının pek olası olmadığı sonucuna varıyor; bunun yerine kuruluşların, özellikle kimlik tabanlı saldırılar ve sosyal mühendislik girişimleri olmak üzere, kümeler arasında paylaşılan taktiklere karşı savunmaya odaklanması gerektiğini vurguluyor.

Paylaş: