Scattered Spider
Scattered Spider , sosyal mühendislik, kimlik istismarı ve yüksek etkili fidye yazılımı saldırılarını sofistike bir şekilde kullanmasıyla bilinen, finansal olarak motive edilmiş bir tehdit aktörüdür. 2022'nin başlarından beri aktif olan grup, hızla gelişerek birçok ülkede çok çeşitli sektörleri hedef almıştır.
Scattered Spider'in kökeni
Scattered SpiderStorm-0875, LUCR-3, Octo Tempest, Roasted 0ktapus, Scatter Swine ve UNC3944 gibi takma adlarla da bilinen SCATTERED SPIDER, 2022'nin başından beri aktif olan üretken bir e-Suç düşmanıdır. Öncelikle Batı ülkeleri dışında faaliyet gösterdiğine inanılan SCATTERED SPIDER, özellikle yüksek gelirli kuruluşlara yönelik yüksek etkili finansal saldırılarıyla bilinir. Operasyonları, kimlik bilgisi hırsızlığı ve SIM takasından, genellikle nihai hedef olarak gasp içeren yüksek profilli fidye yazılımı dağıtımlarına dönüşmüştür.
İlk kampanyalar müşteri ilişkileri yönetimi (CRM) ve iş süreci dış kaynak kullanımı (BPO) firmalarına odaklanmıştı. Ancak, Nisan 2023'e gelindiğinde, fidye yazılımlarının birincil para kazanma aracı olarak benimsenmesiyle operasyonel kapsamları genişledi. Şüpheli genç üyelerin 2024 yılında Birleşik Krallık ve ABD kolluk kuvvetleri tarafından tutuklanmasına rağmen, grup aktif olmaya devam etmektedir.
Tarafından hedeflenen ülkeler
Grup, birçok kıtada çok sayıda ülkeyi hedeflemektedir. Önemli örnekler arasında şunlar yer almaktadır:
- Amerika kıtasında Amerika Birleşik Devletleri, Kanada ve Brezilya.
- Avrupa'da Birleşik Krallık, Almanya, İtalya, Fransa ve İsviçre.
- Asya-Pasifik bölgesinde Güney Kore, Japonya, Singapur, Hindistan ve Avustralya.
Scattered Spider tarafından hedeflenen sektörler
Scattered Spider , hedef aldığı sektörlerin genişliğiyle dikkat çekiyor. Bunlar arasında
- Telekomünikasyon ve Teknoloji, özellikle de daha önceki kampanyalarında.
- Perakende, Finansal Hizmetler ve Tüketici Ürünleri, fidye yazılımları operasyonlarının merkezine yerleştikçe daha fazla hedef alınmaya başladı.
- İmalat, Konaklama, Hukuk, Sağlık, Enerji ve Kripto Para gibi çok çeşitli diğer sektörler, karlılığa odaklanan ayrımcı olmayan bir "büyük av" yaklaşımına işaret etmektedir.
Scattered Spider Kurbanları
Olayların hassas doğası nedeniyle birçok mağdurun adı açıklanmasa da, SCATTERED SPIDER'ın öncelikle etkilediği doğrulanmıştır:
- Fortune 500 şirketleri
- Yüksek gelirli kuruluşlar
- Hassas kullanıcı verilerine ve kurumsal ölçekte altyapıya erişimi olan firmalar
Scattered Spider'in saldırı yöntemi
Smishing, vishing ve BT yardım masalarının kimliğine bürünme gibi gelişmiş sosyal mühendislik taktikleriyle elde edilir. Saldırganlar, kimlik doğrulamayı atlamak ve giriş yapmak için kullanıcı güvenini istismar eder.
Genellikle BT, güvenlik ve C-suite personeline odaklanarak yüksek ayrıcalıklara sahip hesapları hedef alırlar.
EDR/AV araçlarını devre dışı bırakmak veya atlamak için özel malware (örn. CS-Paralyzer), güvenli modda yeniden başlatmaların, kayıt defteri değişikliklerinin ve özel UEFI önyükleme kitlerinin (BlackLotus gibi) kullanılması.
phishing ı kitleri, Mimikatz, secretsdump.py, DCSync ve RAM yakalamaları yoluyla toplanmıştır.
Ortamı haritalandırmak için yasal araçları ve dahili belgeleri kullanın.
RDP, SSH, PSExec ve Azure komutları aracılığıyla; dahili güven ilişkilerini istismar ederler.
SharePoint, GSuite, dahili dosya paylaşımları ve e-posta havuzlarından veri sızdırın.
AnyDesk, ScreenConnect ve TightVNC gibi malware veya RMM araçlarının dağıtımı.
Verileri uzak sunuculara veya Telegram kanallarına tünellemek için Chisel ve Plink gibi araçlardan yararlanın.
Alphv, DragonForce, Qilin ve RansomHub gibi fidye yazılımlarıyla verileri şifreler. Bazen çifte şantaj yapar.
Smishing, vishing ve BT yardım masalarının kimliğine bürünme gibi gelişmiş sosyal mühendislik taktikleriyle elde edilir. Saldırganlar, kimlik doğrulamayı atlamak ve giriş yapmak için kullanıcı güvenini istismar eder.
Genellikle BT, güvenlik ve C-suite personeline odaklanarak yüksek ayrıcalıklara sahip hesapları hedef alırlar.
EDR/AV araçlarını devre dışı bırakmak veya atlamak için özel malware (örn. CS-Paralyzer), güvenli modda yeniden başlatmaların, kayıt defteri değişikliklerinin ve özel UEFI önyükleme kitlerinin (BlackLotus gibi) kullanılması.
phishing ı kitleri, Mimikatz, secretsdump.py, DCSync ve RAM yakalamaları yoluyla toplanmıştır.
Ortamı haritalandırmak için yasal araçları ve dahili belgeleri kullanın.
RDP, SSH, PSExec ve Azure komutları aracılığıyla; dahili güven ilişkilerini istismar ederler.
SharePoint, GSuite, dahili dosya paylaşımları ve e-posta havuzlarından veri sızdırın.
AnyDesk, ScreenConnect ve TightVNC gibi malware veya RMM araçlarının dağıtımı.
Verileri uzak sunuculara veya Telegram kanallarına tünellemek için Chisel ve Plink gibi araçlardan yararlanın.
Alphv, DragonForce, Qilin ve RansomHub gibi fidye yazılımlarıyla verileri şifreler. Bazen çifte şantaj yapar.
Scattered Spider tarafından kullanılan TTP'ler
Vectra AI ile Scattered Spider Nasıl Tespit Edilir
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
Scattered Spider ı diğer tehdit gruplarından farklı kılan nedir?
zero-day açıklarına ihtiyaç duymadan güvenlik mekanizmalarını atlatmak için sosyal mühendislik, SIM değiştirme ve yasal araçları benzersiz bir şekilde harmanlıyorlar.
Scattered Spider ilk erişimi nasıl elde ediyor?
Öncelikle smishing, vishing ve phishing kimlik bilgilerini toplamak ve yardım masası temsilcilerini MFA/kimlik doğrulamayı sıfırlamaya ikna etmek.
Scattered Spider ne tür malware veya araçlar kullanıyor?
Ticari RMM araçları (örn. AnyDesk), fidye yazılım ları (örn. Alphv, Qilin) ve özel araçların (örn. CS-Paralyzer, Pumpy) bir karışımını kullanmaktadırlar.
Scattered Spider'ın operasyonları tamamen otomatik mi?
Hayır. Otomatik phishing kitleri kullanıyorlar, ancak erişim sonrası işlemlerinin çoğu manuel operatör eylemlerine dayanıyor.
Geleneksel MFA Scattered Spider karşı koruma sağlayabilir mi?
Güvenilir değil. MFA korumalarını atlamak için SIM değiştirme, MFA yorgunluğu ve SSPR kötüye kullanımı kullanıyorlar.
Hangi tespit teknikleri yardımcı olabilir?
Güçlü bir Ağ Tespit ve Müdahale (NDR) çözümü kullanmak SCATTERED SPIDER'ın faaliyetlerini tespit etmek ve engellemek için kritik öneme sahiptir. NDR, düşmanlar RDP, PSExec veya şifreli tüneller (örn. Chisel, Plink) gibi meşru araçlar kullandığında bile doğu-batı ve kuzey-güney trafiğindeki yanal hareketleri, C2 iletişimlerini ve olağandışı veri sızma modellerini tespit edebilir.
taviz belirtileri (IoC'ler) nelerdir?
Dosya paylaşım hizmetlerinin (örn. file.io) kullanımı, olağandışı RMM bağlantıları ve BT yardım masası tarafından başlatılan MFA sıfırlamaları yaygın göstergelerdir.
Scattered Spider cılığını nasıl koruyor?
Önyükleme kitleri, zamanlanmış görevler, yeni MFA kayıtları ve devre dışı bırakılmış güvenlik araçları aracılığıyla.
Scattered Spider her seferinde fidye yazılımı mı kullanıyor?
Her zaman değil. Bazı durumlarda, fidye yazılımı dağıtımı olmadan veri hırsızlığı ve gaspı hedeflerler.