Sosyal Mühendislik Saldırıları ve Tehditler
Son yıllarda sosyal mühendislik saldırıları, özellikle hukuki sektörde, artış göstermektedir. Bu durum, özellikle Luna Moth adında bir suç örgütünün çıkışıyla daha da belirgin hale gelmiştir. FBI’nin uyarılarına göre, bu grup, hukuk firmalarını hedef alarak, uzaktan erişim elde etmeye çalışmakta ve hassas verileri çalmaktadır. Saldırıların temelinde yatan sosyal mühendislik teknikleri, kurbanları çeşitli yollarla kandırmayı amaçlamaktadır.
Luna Moth ve Yöntemleri
Luna Moth, aynı zamanda Chatty Spider, Silent Ransom Group (SRG) gibi adlarla da bilinmektedir. 2022 yılından bu yana aktif olan bu grup, özellikle callback phishing veya telefon odaklı saldırı yöntemi kullanarak insanları kandırmakta başarılı olmuştur. Kurbanları, masum görünen bir e-posta aracılığıyla aramaya yönlendirilmekte ve bu arama sırasında kötü niyetli yazılımlar yüklemeye ikna edilmektedirler.
Örneğin, bir e-posta alıcısına, "premium aboneliğini iptal etmek için hemen aramasını" söyleyen bir mesaj gönderiliyor. Bu mesaj, belirli bir süre içerisinde yanıt verilmediği takdirde bir ödeme yapılacağını iddia ediyor. Makul bir müşteri destek numarasının verilmesi, kurbanları aramaya teşvik ediyor. Bu süreçte, uzaktan erişim programları yükleyerek, saldırganlar kurbanların sistemlerine erişim sağlıyor.
Saldırıların Gelişimi ve Yeni Taktikler
Mart 2025 itibarıyla, Luna Moth grubu, taktiklerini değiştirerek, hedeflerini doğrudan aramaya başlamıştır. Hedef kurbanlar, şirketlerinin IT departmanından bir çalışanla konuşuyormuş gibi ayarlanan telefon görüşmeleri üzerinden yönlendirilmektedir. Böylece kurbanlar, uzaktan erişim oturumlarına katılmaya ikna edilmektedir. Bu süreçte, kurbanlara, akşam saatlerinde belirli bir işin yapılması gerektiği bilgisi verilmektedir.
Saldırganlar, kurbanlarının cihazlarına ulaştıktan sonra yetki yükseltme (privilege escalation) işlemine geçerek, Rclone veya WinSCP gibi meşru araçları kullanarak verileri çalmaktadır. Bunun yanı sıra, çeşitli uzaktan erişim yazılımları kullanarak, güvenlik yazılımları tarafından tespit edilme olasılıklarını minimize etmektedirler.
Kullanılan Yöntemler ve Araçlar
Luna Moth, saldırılarını gerçekleştirmek için gerçek sistem yönetim araçları ve uzaktan erişim yazılımları kullanmaktadır. Zoho Assist, Syncro, AnyDesk, Splashtop ve Atera, saldırılarda sıkça kullanılan araçlar arasında yer almaktadır. Kurbanların sistemlerinde bu yazılımlar mevcut olduğundan, saldırılar genellikle tespit edilmeden gerçekleştirilir.
FBI’nin belirttiğine göre, eğer bir cihazda yönetici hakları yoksa, saldırganlar WinSCP portable aracıyla verileri dışarıya sızdırmaktadır. Bu yeni taktik, son dönemde fark edilen etkili bir yöntem olup, birçok sistemin saldırıya uğramasına sebep olmuştur.
Savunma Stratejileri ve Uyarılar
Kurumları bu tehditlere karşı savunmak amacıyla, uzmanlar çeşitli stratejiler geliştirmiştir. Özellikle, WinSCP veya Rclone bağlantılarını izlemek, harici IP adreslerine yönlendiren e-postaları veya sesli mesajları dikkate almak önemlidir. Ayrıca, abonelik hizmetleriyle ilgili olarak, "iptal edilmesi gereken" bir çağrı yapıldığı iddia edilen ispiyon e-postalarına karşı dikkatli olunması gerekmektedir.
Kurum içindeki çalışanların, IT departmanı adına gelen istenmeyen telefon çağrılarına yanıt vermemeleri ve her zaman güvenilir kaynaklardan doğrulama yapmaları gerekmektedir.
Luna Moth’un Yapısı ve Etkileri
Geçtiğimiz yıllarda yapılan araştırmalar, Luna Moth’un faaliyetleriyle ilgili dikkate değer veriler sağlamaktadır. EclecticIQ tarafından yayınlanan bir rapora göre, bu grubun 37’den fazla alan adı kaydetmesi ve hedeflerinin IT destek portallarını taklit etmesi dikkat çekmektedir. Grubun, GoDaddy aracılığıyla kaydedilen alan adları, sıklıkla hedef alınan şirketlerin ismi ile başlamaktadır.
Bu durum, saldırganların aynı zamanda marka bilinirliğinden nasıl faydalandığını ve kurbanlarını yanıltmak için ne denli hırslı olduklarını göstermektedir. Araştırmalar, bu grup için belirli bir düzenin olmadığını, kullanıcılara karşı geliştirilen yeni sahte yapılar oluşturulduğunu göstermektedir.
Kısa vadede bu tehditlere karşı etkili önlemler almak, yasal ve finansal sektör için hayati bir önem taşımaktadır. Her geçen gün artan sosyal mühendislik saldırıları, kurumların güvenliği için ciddi bir tehdit unsuru olmaya devam etmektedir. Bu durum, hem çalışanları hem de kurumları daha dikkatli olmaya zorlamaktadır. Her birey ve şirket, bu tür saldırılara karşı bilinçlenmeli ve gerekli tedbirleri almalıdır.
