Sessiz Fidye Grubu: Yüz Yüze BT Personeli Taklidi ile Sistemlere Sızıyorlar Linux

Sessiz Fidye Grubu: Yüz Yüze BT Personeli Taklidi ile Sistemlere Sızıyorlar

Sessiz Fidye Grubu (SRG), ABD'deki hukuk firmalarını hedef alarak telefon ve yüz yüze BT personeli taklidi yapıyor. Veri sızdırma ve korunma yolları h

ABD genelindeki hukuk firmaları, geleneksel kimlik avı taktiklerinin ötesine geçen, giderek daha sofistike tehdit aktörlerinin hedefi haline geldi. Bu aktörler artık güvenilir BT personeli gibi davranarak hem telefon görüşmeleri hem de yüz yüze karşılaşmalar yoluyla kurumsal sistemlere sızıyor. FBI'ın son Flash Alert uyarısına göre, Silent Ransom Group (SRG) olarak da bilinen Luna Moth, Chatty Spider ve UNC3753 grupları, 2023'ten bu yana sürekli olarak ABD merkezli hukuk firmalarını hedef alıyor. SRG, sigorta, finans ve sağlık gibi diğer sektörlerdeki şirketleri de mağdur etti.

FBI, tarihsel olarak tehdit aktörünün, küçük 'abonelik ücretleri' talep eden kimlik avı e-postaları göndererek kurban ağlarına erişim sağladığını belirtti. Sahte aboneliği iptal etmek için kurbana tehdit aktörünü araması talimatı veriliyor, ardından aktör bir bağlantı göndererek kurbana uzaktan erişim yazılımı indirtiyor. Geri arama ve telefon odaklı saldırı dağıtımı (TOAD) olarak bilinen bu taktik, Palo Alto Networks Unit 42 tarafından 2022'de detaylandırılmıştı. O dönemde Unit 42, kampanyanın kurbanlara yüz binlerce dolara mal olduğunu söyledi.

Grup şimdi sosyal mühendislik kampanyasını geliştirdi ve FBI, 2026 baharı itibarıyla mağdurun BT departmanı personelini taklit ettiğini gözlemledi. Dolandırıcılık, SRG aktörlerinin doğrudan arama yapması veya hedefe kimlik avı e-postaları göndererek çalışanları BT desteği gibi davranan SRG aktörünü aramaya teşvik etmesini içeriyor. Telefonda çalışanlara bir masaüstü uzaktan erişim oturumuna izin vermeleri talimatı veriliyor. Bu başarısız olursa, SRG aktörü mağdurun fiziksel konumuna bir tehdit aktörü göndererek mağdurun bilgisayarına bir depolama aygıtı takmasını sağlıyor. Bu düzenekte tehdit aktörü, kimlik avı e-postasından kaynaklanan potansiyel etkileri gidermek için cihazı görüntülemesi veya yedek dosya oluşturması gerektiğini söylüyor.

Erişim sağlandıktan sonra SRG aktörü, ayrıcalıkları minimum düzeyde yükseltiyor ve şifreleme olmadan hızla veri sızdırmaya geçiyor. Veri sızdırmak için Windows Secure Copy (WinSCP) veya gizli ya da yeniden adlandırılmış bir 'Rclone' sürümü kullanılıyor. SRG aktörleri ayrıca Google Drive veya Microsoft OneDrive gibi dahili dosya paylaşım platformlarına da veri sızdırıyor. Bir tehdit aktörü yüz yüze gönderilirse, SRG aktörleri verileri harici bir sabit diske veya USB sürücüye sızdırıyor. FBI uyarısı, geleneksel antivirüs ürünlerinin bu saldırıyı tespit etme olasılığının düşük olduğunu çünkü SRG'nin genellikle saldırıyı gerçekleştirmek için meşru sistem yönetimi veya uzaktan erişim araçları kullandığını belirtti. Siber güvenlik liderleri, güçlü parolalar, çok faktörlü kimlik doğrulama ve güncel antivirüs araçları gerektirerek güçlü siber hijyen uygulamalı ve SRG ile ilgili fidye yazılımı tehditlerine karşı FBI yönergelerini izlemelidir.

Paylaş: