ABD genelindeki hukuk firmaları, geleneksel kimlik avı taktiklerinin ötesine geçen ve artık güvenilir BT personeli gibi davranarak telefon görüşmeleri ve yüz yüze temas yoluyla kurumsal sistemlere sızmaya çalışan giderek daha sofistike tehdit aktörlerinin hedefi haline geliyor.
FBI'ın son yayınladığı Flaş Uyarı'ya göre, Sessiz Fidye Grubu (SRG) olarak da bilinen Luna Moth, Chatty Spider ve UNC3753, 2023'ten bu yana ABD merkezli hukuk firmalarını hedef alıyor. SRG, sigorta, finans ve sağlık gibi diğer sektörlerdeki şirketleri de mağdur etti.
FBI, tehdit aktörünün başlangıçta küçük 'abonelik ücretleri' talep eden kimlik avı e-postaları göndererek kurban ağlarına erişim sağladığını belirtti. Sahte aboneliği iptal etmek için kurbana tehdit aktörünü araması talimatı veriliyor, ardından e-postayla gönderilen bir bağlantıya tıklayarak uzaktan erişim yazılımı indirmesi isteniyor. Bu taktik, geri arama ve telefon tabanlı saldırı dağıtımı (TOAD) olarak biliniyor ve ilk olarak 2022'de Palo Alto Networks Unit 42 tarafından detaylandırılmıştı. O dönemde Unit 42, kampanyanın kurbanlara yüz binlerce dolara mal olduğunu söylemişti.
Önemli Gelişmeler
Grup şimdi sosyal mühendislik kampanyasını geliştirdi ve FBI, 2026 baharı itibarıyla kurbanın BT departmanı personelini taklit ettiğini gözlemledi. Dolandırıcılık, SRG aktörlerinin doğrudan arayarak veya kimlik avı e-postaları göndererek çalışanları BT desteği gibi davranan SRG aktörünü aramaya yönlendirmesini içeriyor.
Telefonda, çalışanlara uzak masaüstü oturumuna erişim izni vermeleri talimatı veriliyor. Bu başarısız olursa, SRG aktörü kurbanın fiziksel konumuna bir tehdit aktörü göndererek bilgisayara bir depolama aygıtı takmak için erişim sağlıyor. Bu düzenekte tehdit aktörü, kurbana kimlik avı e-postasının olası etkilerini gidermek için cihazı görüntülemesi veya yedek dosya oluşturması gerektiğini söylüyor.
Sonuç ve Değerlendirme
Erişim sağlandıktan sonra SRG aktörü minimum düzeyde ayrıcalık yükseltiyor ve şifreleme yapmadan hızla veri sızdırmaya geçiyor. Windows Secure Copy (WinSCP) veya gizli veya yeniden adlandırılmış bir 'Rclone' sürümü kullanılarak veriler dışarı sızdırılıyor. SRG aktörleri ayrıca Google Drive veya Microsoft OneDrive gibi iç dosya paylaşım platformlarına da veri sızdırıyor. Fiziksel olarak bir tehdit aktörü gönderilmişse, SRG aktörleri harici bir sabit diske veya USB sürücüye veri aktarıyor.
FBI uyarısı, geleneksel antivirüs ürünlerinin bu tür saldırıları tespit etme olasılığının düşük olduğunu, çünkü SRG'nin genellikle meşru sistem yönetimi veya uzaktan erişim araçlarını kullandığını belirtiyor. Bu nedenle siber güvenlik liderleri, güçlü parolalar, çok faktörlü kimlik doğrulama ve güncel antivirüs araçları gerektirerek sağlam siber hijyen uygulamalı ve FBI'ın SRG ile ilgili fidye yazılımı tehditlerine karşı korunma rehberliğini takip etmelidir.
Kaynak: infosecurity-magazine.com