Araştırmacılar, son birkaç ayda, herhangi bir şifreleme aracı veya kötü amaçlı yazılım kullanmadan, çoğunlukla küçük ve orta ölçekli işletmelerden zorla yüzbinlerce dolar almayı başaran bir tehdit aktörü tespit etti.
Bunun yerine, Luna Moth (“Sessiz” fidye yazılımı grubu olarak da bilinir) olarak adlandırılan saldırgan, bir dizi meşru araç ve “geri arama kimlik avı” adlı bir teknik kullanıyor. Taktik, kurban kuruluşlardan hassas verileri çalmak ve bunları onlardan zorla para almak için bir kaldıraç olarak kullanmaktır.
Hedefli Saldırılar
Şimdiye kadarki saldırıların çoğu hukuk sektöründeki daha küçük kuruluşları hedef aldı; Palo Alto Network’ün Birim 42’den araştırmacıların Pazartesi günü yayımladıkları bir rapora göre, son zamanlarda düşman perakende sektöründeki daha büyük şirketlerin de peşine düşmeye başladı. Güvenlik satıcısı, saldırıların evriminin, tehdit aktörünün taktikleriyle daha verimli hale geldiğini ve artık her büyüklükteki işletme için tehlike oluşturduğunu gösterdiğini söyledi.
Palo Alto Networks’te Unit 42’de kıdemli tehdit araştırmacısı olan Kristopher Russo, “Bu taktiğin, büyük perakendecilerden küçük/orta ölçekli yasal kuruluşlara kadar her büyüklükteki işletmeyi başarıyla hedef aldığını görüyoruz” diyor. “Sosyal mühendislik bireyleri hedef aldığından, şirketin büyüklüğü fazla koruma sağlamıyor.”
Geri arama kimlik avı, güvenlik araştırmacılarının Conti fidye yazılımı grubunun bir yıldan uzun bir süre önce kurban sistemlerine BazarLoader kötü amaçlı yazılım yüklemek için bir kampanyada kullandıklarını gözlemledikleri bir taktiktir.
Geri Arama Kimlik Avı
Dolandırıcılık, bir rakibin kurban kuruluştaki belirli, hedeflenen bir bireye kimlik avı e-postası göndermesiyle başlar. Kimlik avı e-postası, alıcı için özel olarak yapılır, yasal bir e-posta hizmetinden kaynaklanır ve kullanıcının saldırganla bir telefon görüşmesi başlatmasını sağlamak için bir çeşit tuzak içerir.
Ay Güvesi olaylarında, Birim 42 araştırmacıları gözlemlendi, kimlik avı e-postası, alıcının adına bir abonelik hizmeti için PDF dosyası biçiminde bir fatura içerir. Saldırganlar, kurbanı aboneliğin yakında aktif hale geleceğini ve dosyadaki kredi kartı numarasına faturalandırılacağını bildirir. E-posta, kullanıcıların faturayla ilgili soruları olduğunda arayabilecekleri sözde bir çağrı merkezinin telefon numarasını veya bazen birden fazla numarayı sağlar. Bazı faturaların üst kısmında tanınmış bir şirketin logosu bulunur.
Russo, “Bu fatura, çağrı merkezi tarafından kullanılan benzersiz bir takip numarası bile içeriyor” diyor. “Yani, kurban faturaya itiraz etmek için numarayı aradığında, meşru bir iş gibi görünüyor.”
Saldırganlar daha sonra arayan kullanıcıları Zoho Assist uzaktan destek aracını kullanarak kendileriyle bir uzak oturum başlatmaya ikna eder. Birim 42’ye göre, kurban uzak oturuma bağlandığında, saldırgan kurbanın klavye ve faresinin kontrolünü ele geçiriyor, panoya erişim sağlıyor ve kullanıcının ekranını kapatıyor.
Saldırganlar bunu başardıktan sonra, bir sonraki adımları, kurbanın makinesinde kalıcılığı sürdürmek için yasal Syncro uzaktan destek yazılımını yüklemek oldu. Ayrıca, verileri çalmak için Rclone veya WinSCP gibi diğer yasal araçları da kullandılar. Güvenlik araçları bu ürünleri nadiren şüpheli olarak işaretler çünkü yöneticilerin bir ortamda onlar için geçerli kullanım durumları vardır.
Unit 42, erken saldırılarda, saldırganın kurban sistemlerine Atera ve Splashtop gibi çok sayıda uzaktan izleme ve yönetim aracı yüklediğini, ancak son zamanlarda araç setlerini azalttıklarını söyledi.
Bir kurbanın sisteminde yönetici hakları yoksa, saldırgan sistemde kalıcılık sağlamaya yönelik her türlü girişimden kaçınır ve bunun yerine WinSCP Portable’dan yararlanarak doğrudan veri çalmaya gider.
Birim 42 raporunda, “Saldırganın kalıcı olduğu durumlarda, ilk temastan saatler ila haftalar sonra sızma gerçekleşti. Aksi takdirde, saldırgan yalnızca arama sırasında elinden geleni yaptı.”
En Fazla Basıncı Uygulamak
Russo, Luna Moth grubunun tipik olarak, kaldıraç kullanıldığında kurban üzerinde en fazla baskıyı uygulayacak verilerin peşine düştüğünü söylüyor. Saldırganın yasal firmaları hedef alırken sektör hakkında iyi bir bilgisi olduğu ve yanlış ellere geçmesi muhtemel olan en fazla zararı verebilecek türden verileri bildiği görüldü.
Russo, “Birim 42’nin araştırdığı davalarda, hukuk firmasının müvekkillerinin hassas ve gizli verilerini hedef aldılar” diye açıklıyor. “Saldırgan, çaldıkları verileri gözden geçirdi ve gasp e-postasına çaldıkları en zarar verici verilerin bir örneğini ekledi.”
Pek çok saldırıda, düşman kurbanın en büyük müşterilerini isimleriyle çağırdı ve kurban kuruluş talep edilen fidyeyi (genellikle 2 ila 78 Bitcoin arasında değişen) ödemezse onlarla iletişime geçmekle tehdit etti.
Birim 42’nin araştırdığı vakalarda, saldırganlar bir kurbanın makinesine erişim sağladıktan sonra yanal hareket etmediler. Russo, “Ancak, kurbanın yönetici kimlik bilgileri varsa, güvenliği ihlal edilmiş bilgisayarı izlemeye devam ediyorlar – hatta düzeltme çabaları tespit ederlerse kurbanları arayıp alay edecek kadar ileri gidiyorlar” diyor.
Ay Güvesi’nin faaliyetleri hakkında ilk rapor verenlerden biri olan Sygnia, grubun muhtemelen Mart ayında ortaya çıkacağını söyledi. Güvenlik satıcısı olduğunu söyledi tehdit aktörünü gözlemledi Kalıcılık için Atera, Splashtop ve Syncro gibi piyasada bulunan uzaktan erişim araçlarını ve ayrıca AnyDesk’i kullanarak. Sygnia, araştırmacılarının tehdit aktörünü keşif için SoftPerfect ağ tarayıcısı ve ağ numaralandırma için SharpShares gibi diğer meşru araçları kullanarak da gözlemlediğini söyledi. Sygnia, saldırganın taktiğinin, araçları meşru ikili dosyaları taklit eden adlarla güvenliği ihlal edilmiş sistemlerde depolamak olduğunu söyledi.
Russo, “Bu kampanyadaki tehdit aktörü, çoğu teknik güvenlik kontrolünden kaçınmak için özellikle dijital ayak izlerini en aza indirmeye çalışıyor” diyor.
Birim 42, kampanyada tamamen sosyal mühendisliğe ve meşru araçlara güvendikleri için saldırıların çok az eser bıraktığını söyledi. Russo, bu nedenle, “her büyüklükteki kuruluşun, çalışanlara yeni tehdide karşı korunmak için güvenlik farkındalığı eğitimi vermesini öneriyoruz” diyor.