Google Tehdit İstihbarat Grubu şu anda saldırganların kurbanlarının sistemlerine fiziksel olarak eriştikleri konusunda uyarıyor: Sahada BT teknisyeni kılığına girip etkilenen şirketin ofislerine giriyorlar. Daha sonra hassas verilere doğrudan son cihazdan erişmek için bir USB çubuğu kullanırsınız.
Reklamdan sonra devamını okuyun
Dijital saldırganlar genellikle verileri çalmaya veya ağları uzaktan sabote etmeye çalışır: Kurban bir kimlik avı e-postasına kapılır, saldırganla iletişime geçer ve saldırgan şirket ağına uzaktan erişim elde eder ve ardından hassas verileri kopyalar. Saldırgan daha fazla ilerleyemezse bazı durumlarda kendini şirket binasının önünde buluyor.
Google'a göre sahte BT destekçileri, Luna Moth, Chatty Spider veya Silent Ransom Group olarak da bilinen hacker grubu UNC3753'tür. Esas olarak ABD'deki hukuk firmalarını hedef alıyorlar ancak sigorta, finans veya sağlık şirketleri de etkileniyor. Veriler daha sonra şirkete şantaj yapmak istedikleri yasal anlaşmalar, kişisel veriler veya mali belgelerdir.
İlerlemek
Bilgisayar korsanı grubu, kurbanlarına telefon veya e-posta yoluyla ulaşabilmek için şirketin web sitelerinde iletişim bilgilerini arıyor. Sanki şirketin BT veya güvenlik departmanına aitmiş gibi davranırlar. Daha sonra kurbanı sözde bir güvenlik açığı konusunda uyarırlar veya verileri taşımak için hazırlanmış bir projeyle ona yardım etmek isterler. Bu şekilde güven oluştururlar ve mağduru uzaktan bakım oturumu yaptırmaya ikna etmeye çalışırlar.
Google'a göre UNC3753 normal ekran paylaşım yazılımı kullanıyor: Zoom, Microsoft Terminal Services, Microsoft Teams veya Quick Assist. Bir örnekte saldırgan, kurbanla Teams aracılığıyla üç gün içinde beş kez konuştu. Ayrıca kurbanları AnyDesk, Bomgar veya Zoho Assist gibi özel uzaktan yazılım yüklemeye ikna etmeye çalışıyorlar. Bir durumda kullanıcının cURL aracılığıyla bir “SuperOps RMM aracısı” indirmesi gerekir.
Verileri aktar
Reklamdan sonra devamını okuyun
Saldırganlar kurbanın güvenini kazanırsa hassas verileri kopyalarlar. Örneğin, doğrudan kurbanın tarayıcısından dosya paylaşım hesaplarına giriş yapıyorlar ve dosyaları doğrudan yüklüyorlar; bunu ya kendileri yaptılar ya da kurbanlarına bunu yapmaları için talimat verdiler. Ayrıca hedef şirketin markasını da taklit ettiler.
Diğer şeylerin yanı sıra WinSCP ve Rclone veri aktarım programları kullanıldı. Bir vakada saldırganlar, yerel OneDrive klasöründen Google Drive hesabına yaklaşık 1,7 GB veri aktardı. Ayrıca mağdurlara, iManage yasal yazılımındaki dosyaları doğrudan bilgisayar korsanlarına e-posta yoluyla göndermeleri talimatını verdi.
FBI uyarısı
Google'a göre saldırganların uzaktan taktikleri başarısız olursa verileri fiziksel olarak çalmaya çalışacaklar. FBI da Mayıs ayının sonunda bu konuda uyardı (PDF). Kendilerini yine BT desteği olarak tanıtıyorlar ve yedek oluşturmaları gerekiyormuş gibi davranıyorlar. Bunun için harici sabit diskler veya basit USB bellekler kullanıyorlar. Bilgisayar korsanları ihtiyaç duydukları tüm verilere sahip olduktan sonra şirkete bir şantaj e-postası gönderip bunları yayınlamakla tehdit ediyorlar.
FBI, diğer şeylerin yanı sıra, şirket tesislerine giren herkesin izinlerinin kontrol edilmesini tavsiye ediyor. Şirketler ayrıca çalışanlarını eğitmeli, yedekler oluşturmalı ve harici sürücülere bağlanma yeteneğini sınırlamalıdır.
Google ayrıca giden veri trafiğini ve ağı sıkı bir şekilde izlemenizi tavsiye eder; birkaç GB verinin çıkışı gözden kaçmamalıdır. Şirketler, yetkisiz dosya paylaşım servislerini engellemeli, aktarılan veri miktarlarını güvenlik duvarı loglarına kaydetmeli ve toplu aktarımlar için özellikle 22 numaralı bağlantı noktasındaki SSH trafiğini kontrol etmelidir.
(str)
Bir yanıt yazın