ABD'deki hukuk firmaları, geleneksel kimlik avı taktiklerinin ötesine geçen tehdit aktörlerinin hedefi haline geldi. FBI'ın son Flash Alert raporuna göre, Silent Ransom Group (SRG) olarak da bilinen Luna Moth, Chatty Spider ve UNC3753 kod adlı grup, 2023'ten bu yana ABD merkezli hukuk firmalarını hedef alıyor. Grup, sigorta, finans ve sağlık sektörlerindeki şirketleri de etkilemiş durumda.
FBI, SRG'nin başlangıçta küçük 'abonelik ücretleri' talep eden kimlik avı e-postaları gönderdiğini belirtiyor. Bu ücreti iptal etmek için kurbanın tehdit aktörünü araması isteniyor ve ardından gönderilen bağlantıyla uzaktan erişim yazılımı indiriliyor. Palo Alto Networks Unit 42'nin 2022'de detaylandırdığı bu 'callback' ve telefon tabanlı saldırı yöntemi (TOAD), kurbanlara yüz binlerce dolara mal olmuştu.
SRG, sosyal mühendislik kampanyasını geliştirerek 2026 baharı itibarıyla kurbanın BT departmanı çalışanlarını taklit etmeye başladı. Saldırganlar, doğrudan arama veya kimlik avı e-postaları yoluyla çalışanları, BT desteği gibi davranan SRG aktörünü aramaya yönlendiriyor. Telefonda, çalışanlardan uzak masaüstü oturumuna erişim izni vermeleri isteniyor.
Sistem Güvenliği
Uzaktan erişim başarısız olursa, SRG aktörü fiziksel bir tehdit aktörünü kurbanın bulunduğu yere gönderiyor. Bu kişi, cihazı görüntülemek veya yedekleme yapmak bahanesiyle bir depolama aygıtı takarak erişim sağlıyor. Fiziksel erişimle veriler harici diske veya USB'ye kopyalanıyor. Ayrıca Windows Secure Copy (WinSCP) veya gizlenmiş 'Rclone' sürümüyle veri sızdırma yapılıyor. Google Drive veya Microsoft OneDrive gibi platformlar da kullanılıyor.
FBI, geleneksel antivirüs ürünlerinin bu saldırıyı tespit etme olasılığının düşük olduğunu çünkü SRG'nin genellikle meşru sistem yönetim araçlarını kullandığını belirtiyor. Saldırganlar, ayrıcalık yükseltme yerine hızlıca veri sızdırmaya odaklanıyor ve şifreleme yapmıyor. Bu da tespiti zorlaştırıyor.
Sonuç ve Değerlendirme
Siber güvenlik liderleri, FBI'ın önerileri doğrultusunda güçlü parolalar, çok faktörlü kimlik doğrulama ve güncel antivirüs araçlarıyla siber hijyeni güçlendirmeli. Ayrıca, BT personeli kimliğine bürünme girişimlerine karşı kullanıcı farkındalığı artırılmalı ve fiziksel güvenlik önlemleri gözden geçirilmelidir.
Kaynak: infosecurity-magazine.com