ABD genelindeki hukuk firmaları, geleneksel kimlik avı taktiklerinin ötesine geçen, artık kurumsal sistemlere sızmak için hem telefon görüşmelerinde hem de yüz yüze görüşmelerde güvenilir BT personeli kılığına giren, giderek daha karmaşık hale gelen tehdit aktörleri tarafından hedef alınıyor.
FBI'ın yakın tarihli bir Ani Uyarısında Büro, Luna Moth, Chatty Spider ve UNC3753 olarak da bilinen Silent Ransom Group'un (SRG), grubun 2023'ten bu yana sürekli olarak ABD merkezli hukuk firmalarını hedef aldığını söyledi.
SRG, sigorta, finans ve sağlık hizmetleri de dahil olmak üzere diğer sektörlerdeki şirketleri mağdur etti.
FBI, geçmişte tehdit aktörünün, kurban ağlarına erişim sağlamak amacıyla küçük "abonelik ücretleri" talep etmek amacıyla kimlik avı e-postaları gönderdiğini belirtti. Sahte aboneliği iptal etmek için, kurbana tehdit aktörünü araması talimatı verildi ve o da daha sonra kurbanı uzaktan erişim yazılımını indirmeye yönlendirecek bir bağlantıyı e-postayla gönderdi.
Geri arama ve telefon odaklı saldırı dağıtımı (TOAD) olarak bilinen bu taktik, 2022 yılında Palo Alto Networks Birim 42 tarafından ayrıntılı olarak açıklanmıştı. O zamanlar Birim 42, kampanyanın kurbanlara zaten yüz binlerce dolara mal olduğunu söylemişti.
Detaylar ve Etkileri
SRG, BT Kimliğine Bürünme ve Fiziksel Erişim Taktikleriyle Yükseliyor
Grup artık sosyal mühendislik kampanyasını geliştirdi ve FBI, 2026 baharından itibaren kurbanın BT departmanındaki personelin kimliğine büründüğünün gözlemlendiğini söyledi.
Gelecekte Ne Bekleniyor?
Dolandırıcılık, SRG aktörlerinin doğrudan aramasını veya hedefi BT desteği gibi görünen SRG aktörünü aramaya teşvik eden kimlik avı e-postaları göndermesini içeriyor.
Çalışanlar telefona bağlandıklarında uzak masaüstü oturumuna erişim izni vermeleri için yönlendirilir. Bu başarısız olursa SRG aktörü, kurbanın bilgisayarına bir depolama aygıtı yerleştirmek üzere erişim sağlamak için kurbanın fiziksel konumuna bir tehdit aktörü gönderir.
Bu şemada, tehdit aktörü kurbana, kimlik avı e-postasının olası etkilerini gidermek için cihazın görüntüsünü alması veya bir yedekleme dosyası oluşturması gerektiğini söyler.
Nasıl Önlem Alınmalı?
Erişim elde edildikten sonra, SRG aktörü ayrıcalıkları minimum düzeyde artırıyor ve hızla şifreleme olmadan veri sızdırmaya yöneliyor.
Sonuç ve Değerlendirme
Verileri dışarı çıkarmak için Windows Güvenli Kopyası (WinSCP) veya "Rclone"un gizli veya yeniden adlandırılmış bir sürümü kullanılır. SRG aktörleri ayrıca verileri Google Drive veya Microsoft OneDrive gibi dahili dosya paylaşım platformlarına sızdırıyor.
Bir tehdit aktörüne şahsen gönderilirse, SRG aktörleri verileri harici bir sabit sürücüye veya USB sürücüye sızdırır.
Uzmanların Görüşleri
FBI bildiriminde, SRG'nin saldırıyı gerçekleştirmek için genellikle yasal sistem yönetimi veya uzaktan erişim araçlarını kullanması nedeniyle geleneksel antivirüs ürünlerinin de izinsiz girişi işaretleme olasılığının düşük olduğu belirtildi.
Fidye Yazılımı Tehditlerine Karşı Siber Hijyeni Güçlendirmek
Teknik Analiz
Siber güvenlik liderleri, SRG ile ilgili fidye yazılımı tehditlerine karşı koruma sağlamak için FBI'ın rehberliğini takip ederken, sağlam parolalar, çok faktörlü kimlik doğrulama ve güncel antivirüs araçları talep ederek güçlü siber hijyen uygulamalıdır.