Giriş
Son dönemde, UNC6783 adını taşıyan bir tehdit aktörü, iş süreçleri dış kaynak sağlayıcılarını hedef alarak yüksek değerli şirketlere erişim sağlamaktadır. Google Tehdit İstihbarat Grubu’na göre, bu yöntemle çeşitli kurumsal varlıklar ele geçirilerek hassas veriler çalınıp zorla ödeme talep edilmektedir.
Saldırı Nasıl Çalışıyor?
UNC6783’ün kullandığı yöntemler arasında sosyal mühendislik ve oltalama kampanyaları yer almaktadır. Özellikle BPO’lar ile çalışan hedef şirketlerin destek ve yardım masası personelini de direkt olarak hedef alarak, sahte erişim bilgileri elde etmeye yönelik sahtekarlıklar yapmaktadırlar. Bu saldırılar sırasında destek çalışanları, sahte Okta giriş sayfalarına yönlendirilmekte ve bu sayfalar, hedef şirketin alan adıyla benzerlik gösterecek şekilde tasarlanmaktadır.
Etkilenen Sistemler
UNC6783 saldırıları genel olarak aşağıdaki bileşenleri hedef alır:
- BPO (Business Process Outsourcing) hizmetleri
- Zendesk destek sistemleri
- İşletmelere ait gizli veriler
Çözüm ve Korunma
Google’ın Mandiant departmanı, UNC6783 saldırılarına karşı şu savunma önerilerini sunmaktadır:
- FIDO2 güvenlik anahtarları kullanarak çok faktörlü kimlik doğrulamasını (MFA) güçlendirin.
- Canlı sohbet hizmetlerini kötüye kullanıma karşı izleyin.
- Sahte alan adları, özellikle Zendesk ile ilgili olanlar, engellenmelidir.
- MFA cihaz kayıtlarını düzenli olarak denetleyin.
Sonuç
UNC6783’ün daha fazla zarara yol açmasını önlemek için, hemen aşağıdaki adımları atın:
- Güvenlik güncellemelerinizi kontrol edin ve gerekli güncellemeleri yapın.
- Portları kapatın ve gereksiz açılan bağlantıları yönetin.
- Fido2 gibi güvenlik yöntemlerini uygulayarak sistemlerinizi güçlendirin.
Bu önlemler, saldırılara karşı koruma sağlayacaktır.
