Dikkat: Yeni Vishing Saldırıları
Son dönemde siber güvenlik araştırmacıları, finansal motivasyonlu bir veri hırsızlığı ve zorbalık kampanyasının detaylarını ortaya çıkardı. Bu durum, 2026 yılı içinde ABD’deki profesyonel, hukuki ve finansal hizmetler sektöründeki birçok kuruluşu hedef almıştır.
Saldırı Nasıl Çalışıyor?
Saldırılar, UNC3753 adındaki tehdit aktörüne atfedilmekte olup, bu grup Chatty Spider, Luna Moth ve Silent Ransom Group (SRG) olarak da bilinmektedir. Araştırmacılar, saldırganların sesli phishing (vishing) ve sosyal mühendislik teknikleri kullanarak şirket ortamlarına uzaktan erişim sağladığını belirtmektedir.
Araştırmalara göre:
- Aktörler, veri göçü veya fatura ile ilgili e-postalar gibi önceden belirlenmiş bahanelerle telefon görüşmeleri başlatır.
- Hedefleri, IT destek çalışanları gibi davranarak ekran paylaşım oturumları açmaya ve uzaktan izleme ve yönetim (RMM) araçları indirmeye ikna ederler.
Erişim sağlandıktan sonra, saldırganlar doğrudan dosya araması yaparak ya da kurbanı kendi işlemlerini gerçekleştirmeye ikna ederek bilgi çalmaktadır. Çalınan bilgiler arasında; özel hukuki anlaşmalar, kişisel veriler (PII) ve finansal kayıtlar bulunmaktadır.
Etkilenen Sistemler
Saldırılar, bazı durumlarda fiziksel olarak da gerçekleşmektedir. Saldırganların, IT teknisyenleri olarak kurbanların ofislerine girdiği gözlemlenmiştir. Bu tür fiziksel ihlaller, saldırganların kurbanların sistemlerine taşınabilir USB aygıtları kullanarak veri çalmaya çalışmasıyla sonuçlanabilir.
FBI, bu yeni gelişmenin, UNC3753’ün yeteneklerindeki bir artış olduğunu belirtmektedir:
- Data aktarımını sağlamak için kurbanların bilgisayarlarına saldırganın USB sürücüsünü eklemektedirler.
Google, UNC3753’ün geçmişte LockBit Black ransomware’ını dağıtmasına rağmen, 2022 yılından itibaren esas olarak sadece zorbalık kampanyalarına odaklandığını ifade etmektedir.
Çözüm ve Korunma
Saldırganlar, yaklaşık 2025 Mart ayından itibaren kurbanları ekran paylaşım oturumlarına davet ederek güvenlik kontrollerini aşmayı başarmaktadır. Google, bu tehdit grubunun öncelikle zararsız görünen fatura temalı e-postalarla kampanyalar başlattığını belirtiyor:
- E-postalar aktif bağlantılar veya zararlı ekler içermemekte, genel bir mesaj içermektedir.
- Hedefin iç güvenlik endişelerini artırarak, sesli arama görüşmelerine daha duyarlı hale getirmektedirler.
Kuruluşlar, uzaktan masa üstü yazılımlarının (örneğin AnyDesk, Bomgar) yüklenmesine yönelik talimatları sosyal mühendislik aracılığıyla yönlendiren saldırganlarla karşı karşıyadır. Bu yazılımlar, özellikle kurumsal sanal masaüstü altyapılarına (VDI) erişim sağlamak amacıyla kullanılmaktadır.
Verilerin son aşamada, kurbanların e-posta hesaplarından veya WinSCP ve Rclone ile saldırganın kontrolündeki e-posta adreslerine gönderildiği görülmektedir. Saldırganlar, veri çalındıktan sonra kurbanlara zorla ödeme talebi göndermekte, genellikle 30 dakika içinde iletişime geçmektedir.
Google’a göre, hukuki hizmetler sağlayan firmalar, yüksek değerli hedeflerdir. Saldırganlar, bu kuruluşların elde tutulduğuna inandıkları çok hassas müşteri dosyalarından yararlanma amacındadır.
Aksiyon: Ne Yapmalısınız?
Kuruluşların bu tehditlere karşı korunmak için aşağıdaki adımları izlemeleri önerilmektedir:
- Yazılımlarınızı güncel tutun: Özellikle RMM araçları ve uzaktan izleme yazılımlarını düzenli olarak kontrol edin.
- Portları kapatın: Gereksiz portları kapatın ve yalnızca gerekli olanları açık tutun.
- Sosyal mühendislik saldırılarına dikkat edin: Çalışanlarınızı vishing gibi sosyal mühendislik yöntemlerine karşı eğitin.
- Çok faktörlü kimlik doğrulama (MFA): MFA gibi ek güvenlik katmanları ekleyerek korunma sağlayın.
Bu önlemler, siber saldırıların etkisine karşı hazırlıklı olmanıza yardımcı olacaktır.
