Sophos Araştırması: Batı’da E-posta Bombardıman Saldırıları İkinci Bir Lehine mı Dönüşüyor?

Posted by:
Elif Demir
Çar, 22 Oca
0 Comment
Feature image

Batı’da en az 15 kuruluş hedef alındı, Sophos’un araştırmacıları iki grup tarafından gerçekleştirilen e-posta bombardıman saldırılarını gözlemledi. Son üç ay içinde görülen en az 15 olayda, iki tehdit aktör grubunun, verilerini çalmaya ve fidye yazılımı dağıtmaya çalıştığı tespit edildi. Sophos X-Ops’un Siber Güvenlik araştırmacıları, son üç ay içinde toplamda 15’ten fazla benzer saldırı gözlemledi. Bu saldırıların yarısının son iki haftada gerçekleştiği belirtiliyor. Saldırganlar, hedefledikleri kişilere çok kısa bir süre içinde yüzlerce hatta binlerce e-posta göndererek “e-posta bombardımanı” taktiğiyle saldırı düzenliyor. Sonrasında, kurbanlarla IT yöneticisi veya ağ destek personeli gibi rol yaparak iletişime geçen saldırganlar, Microsoft Teams gibi çevrimiçi işbirliği araçları üzerinden kurbanlara ulaşıp sorunu çözmeyi teklif ediyor. Kurbanlar teklifi kabul ederse, saldırganlar Quick Assist veya Microsoft Teams ekran paylaşımının erişimine izin ister ve hedef bilgisayarları üzerinde kontrol sağlar. Erişimi elde ettikten sonra ise fidye yazılımını dağıtırlar. Sophos X-Ops saldırıları belirli gruplara kesin olarak atfetmese de, tehdit aktörlerinden biri ile Fin7 – bilinen Rusya menşeli finansal motivasyona sahip bir hack grubu arasında bağlantılar olduğunu belirtti. İkinci grup ise, başka bir finansal motivasyona sahip siber suç örgütü olan Storm-1811’e bağlı gibi görünüyor. Bu grup, siyah bir basta fidye yazılımını karmaşık sosyal mühendislik saldırılarıyla dağıtan ve geçmişte IT personeli gibi rol yaparak gözlemlenen bir topluluktur. Sean Gallagher, Sophos’un baş tehdit araştırmacısı, sorunun anahtarının Teams’in varsayılan yapılandırmasının bir şirketteki iç personelle iletişime dışarıdan kişilere izin vermesi olduğunu belirtiyor. Gallagher’a göre, birçok şirket IT desteği için yönetilen hizmet sağlayıcıları kullanırken, şirket içindeki çalışanlarla sohbet edebilme olanağı Teams’ten ciddi bir tehdit oluşturmaktadır. Gallagher, “Sophos, bu taktiklerle ilişkilendirilen yeni MDR ve IR vakalarını gördükçe, Microsoft 365 kullanan şirketleri uyarıyoruz. Şirket genelindeki yapılandırmaları kontrol etmeli, mümkünse dış hesap mesajlarını engellemeli ve organizasyonları tarafından düzenli olarak kullanılmayan uzak erişim araçları ve uzak makine yönetimi araçlarını engellemelidir.”

Tags:

0 0 votes
Article Rating
Subscribe
Bildir
guest

0 Comments
Eskiler
En Yeniler Beğenilenler
Inline Feedbacks
View all comments