Faslı bir tehdit grubu, perakende müşterileri değil, kartları kaydeden sistemleri hedef alarak klasik hediye kartı dolandırıcılığını bir üst seviyeye taşıdı ve onlara istedikleri zaman para “basma” olanağı sağladı.
Dolandırıcılar, sıradan insanları ikna etmek için sosyal mühendislik taktiklerini kullanıyor onlara yıllarca hediye kartları satın alın. Başucu kitabı zaman içinde pek değişmedi çünkü değişmesi gerekmedi; olduğu gibi bugün etkili ve karlı her zamanki gibi.
Belki de bu yüzden Atlas Aslanı olarak da bilinen Storm-0539, siber suç grubunun son kampanyasında öne çıkıyor: Kırılmayan bir şeyi alıp daha iyi hale getirdi. Saldırganlar, bireysel kurbanlarla (her zaman emek yoğun ve potansiyel olarak düşük getiri oranıyla) çalışmak yerine, perakendecilerin kendilerini, özellikle de hediye kartları düzenlemek için kullandıkları portalları tehlikeye atıyor.
Bir göre, işte nasıl çalışıyor? Microsoft’tan yeni rapor.
Nouveau Hediye Kartı Raketi
Storm-0539, perakende müşteriler yerine perakende çalışanlarını kimlik avı metinleriyle hedef alıyor. Sosyal mühendisliğin amacı işveren hesaplarını tehlikeye atmaktır.
Siber suçlular, bir çalışanın hesabını kullanarak perakendecinin ağını görmeye ve bu ağ içinde yanal hareket etmeye başlayabilir. Bazen, şirketin olağan iş normlarını taklit eden dahili posta listeleri aracılığıyla gönderilen kimlik avı girişimleriyle, diğerlerinin güvenliğini tehlikeye atmak için ilk çalışanı kullanırlar. Aksi takdirde, yeterli ayrıcalığa sahip hesaplara erişimle, çeşitli hizmetler ve hesaplar hakkındaki bilgileri çalarlar ve daha sonra sistemin hediye kartlarını işleyen kısmına ulaşmak için kullanabilirler.
Microsoft Tehdit İstihbarat Merkezi’nde kıdemli av analisti Emiel Haeghebaert, “Storm-0539, hediye kartlarını çalma hedefine doğru ilerlemek için hedeflenen ortamlardaki çok çeşitli kaynaklar hakkında bilgi topluyor” diyor. Bunun OneDrive, Salesforce, Citrix ve daha fazlasıyla ilgili kaynakları içerebileceğini söylüyor.
Örnek olarak: “Grubun SharePoint veya VPN cihazları gibi kaynakları hedef alması, bunun nedeninin genellikle bu kaynakların ek bilgiler içermesi veya nihai olarak hediye kartı altyapısına erişim için gereken erişimi mümkün kılmasıdır” diyor. “Örneğin, birçok kuruluş, kullanıcıların hassas dosyalara ve kaynaklara erişebilmesi için aktif bir VPN bağlantısına ihtiyaç duyuyor. Bu nedenle, Storm-0539’un izinsiz girişe devam edebilmesi için öncelikle VPN kaynaklarına ve belgelerine erişim sağlaması gerekebilir.”
Microsoft’un söylediğine göre Storm-0539’un keşif ve bulut becerileri, ulus devlet düzeyindeki aktörlerden gözlemlediği seviyede.
Storm-0539, oraya ulaşmak için ne gerekiyorsa onu kullanarak, hediye kartı portalına erişim elde edene kadar perakendecilerin ortamlarında dolaşıyor. Güvenliği ihlal edilmiş bir çalışan hesabını kullanarak, perakendecinin belirlediği keyfi dolar miktarı limitinden biraz daha düşük bir değerde ve mümkün olduğu kadar hızlı bir şekilde, mümkün olduğunca çok sayıda yeni hediye kartı oluşturur. Daha sonra bunları nakde çeviriyor veya nakde çevirmek için para kuryelerini kullanıyor veya Dark Web’deki diğer kötü niyetli aktörlere satıyor.
Fırtınayla Mücadele-0593
Microsoft’un raporlamasının zamanlaması kasıtlıdır. Tahmin edilebileceği gibi, Storm-0593 her zaman bir beklentiyle hızlanıyor tatil mevsimleri: yaz, İşçi Bayramı, Şükran Günü, Kara Cuma, kış tatilleri ve bu hafta sonu Anma Günü. Örneğin, grubun Eylül’den Aralık 2023’e kadar olan kötü niyetli faaliyetleri normalden %60 daha yüksekti ve son birkaç ayda bu oran %30 arttı.
Microsoft, bu tehdit aktörüne ve kaçınılmaz olarak onu takip edecek diğerlerine hazırlanmak için kuruluşların kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulama (MFA), sıkı parola sıfırlama önlemleri, belirteç yeniden oynatma ve diğer dolandırıcılık korumaları ile en az ayrıcalık ilkelerini benimsemesini öneriyor. çalışanları bu dolandırıcılığın riskleri konusunda eğitmek gibi.
İyi güvenliğin burada yarattığı fark zaten kanıtlanmıştır. Artan işbirliği ve bilgi paylaşımı sayesinde Microsoft, “Son aylarda büyük perakendecilerin Storm-0539 faaliyetini etkili bir şekilde önleme becerisinde bir artış gözlemledik.”