Google uyarıyor: Saldırganlar BT teknisyeni kılığına girip ofislere giriyor

Google Tehdit İstihbarat Grubu şu anda saldırganların kurbanlarının sistemlerine fiziksel olarak eriştikleri konusunda uyarıyor: Sahada BT teknisyeni kılığına giriyorlar ve ardından etkilenen şirketin ofislerine giriyorlar. Daha sonra hassas verilere doğrudan son cihazdan erişmek için bir USB çubuğu kullanırsınız.

Duyurudan sonra devamını okuyun

Dijital saldırganlar genellikle verileri çalmaya veya ağları uzaktan sabote etmeye çalışır: Kurban bir kimlik avı e-postasına kapılır, saldırganla iletişime geçer ve saldırgan şirket ağına uzaktan erişim elde eder ve ardından hassas verileri kopyalar. Saldırgan ilerleyemediği takdirde bazı durumlarda kendisini şirket binasının önünde buluyor.

Google'a göre sahte BT destekçileri, Luna Moth, Chatty Spider veya Silent Ransom Group olarak da bilinen hacker grubu UNC3753'tür. Çoğunlukla Amerika Birleşik Devletleri'ndeki hukuk firmalarını etkiliyor ancak sigorta, finans veya sağlık şirketleri de etkileniyor. Dolayısıyla bunlar, şirkete şantaj yapmak isteyeceğiniz yasal anlaşmalar, kişisel veriler veya mali belgelerdir.

Bilgisayar korsanı grubu, mağdurlara telefon veya e-posta yoluyla ulaşmak için şirketin web sitelerinde iletişim bilgilerini arıyor. Sanki şirketin BT veya güvenlik departmanına aitmiş gibi davranırlar. Daha sonra kurbanı sözde bir güvenlik açığı konusunda uyarırlar veya veri aktarımı için icat edilmiş bir proje konusunda ona yardım etmek isterler. Bu şekilde güven oluştururlar ve kurbanı uzaktan bakım oturumu yaptırmaya ikna etmeye çalışırlar.

Google'a göre UNC3753 normal ekran paylaşım yazılımını kullanıyor: Zoom, Microsoft Terminal Services, Microsoft Teams veya Quick Assist. Bir örnekte saldırgan, kurbanla Teams aracılığıyla üç gün içinde beş kez konuştu. Ayrıca kurbanları AnyDesk, Bomgar veya Zoho Assist gibi özel uzaktan yazılım yüklemeye ikna etmeye çalışıyorlar. Bir durumda kullanıcının cURL aracılığıyla bir “SuperOps RMM aracısı” indirmesi gerekir.

Duyurudan sonra devamını okuyun

Saldırganlar kurbanın güvenini kazanırsa hassas verileri kopyalarlar. Örneğin, dosya paylaşım hesaplarına doğrudan kurbanın tarayıcısından erişiyorlar ve dosyaları doğrudan yüklüyorlar; bunu ya kendileri yaptılar ya da kurbanlarına bunu yapmaları için talimat verdiler. Ayrıca hedef şirketin markasını da taklit ettiler.

Diğer şeylerin yanı sıra WinSCP ve Rclone veri aktarım programları kullanıldı. Bir vakada saldırganlar, yerel OneDrive klasöründen Google Drive hesabına yaklaşık 1,7 GB veri aktardı. Ayrıca kurbanlara meşru iManage yazılımındaki dosyaları doğrudan bilgisayar korsanlarına e-posta yoluyla göndermeleri talimatını verdi.

Google'a göre saldırganların uzaktan taktikleri başarısız olursa verileri fiziksel olarak çalmaya çalışacaklar. FBI ayrıca Mayıs ayının sonunda alarmı yükseltti (PDF). Kendilerini tekrar BT desteği olarak tanıtıyorlar ve bir yedek oluşturmaları gerekiyormuş gibi davranıyorlar. Bunun için harici sabit diskler veya basit USB bellekler kullanıyorlar. Bilgisayar korsanları ihtiyaç duydukları tüm verilere sahip olduktan sonra şirkete bir şantaj e-postası gönderip bunları yayınlamakla tehdit ediyorlar.

FBI, diğer şeylerin yanı sıra, şirket tesislerine giren herkesin izinlerinin doğrulanmasını tavsiye ediyor. Şirketler ayrıca çalışanlarını eğitmeli, yedekler oluşturmalı ve harici sürücülere bağlanma yeteneğini sınırlamalıdır.

Google ayrıca giden veri trafiğinin ve ağın dikkatle izlenmesini de önerir: Birkaç GB'lık verinin çıkışı gözden kaçmamalıdır. Şirketler, yetkisiz dosya paylaşım hizmetlerini engellemeli, aktarılan veri miktarını güvenlik duvarı günlüklerine kaydetmeli ve toplu aktarımlar için özellikle 22 numaralı bağlantı noktasındaki SSH trafiğini izlemelidir.


(str)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir