Scattered Spider (UNC3944, Octo Tempest, Muddled Libra) son iki yılda kimlik bilgileri ve tarayıcı ortamlarını hedef alan sofistike saldırılarla öne çıktı. Bu grup, Lazarus, Fancy Bear ve REvil gibi tehdit aktörlerinden farklı olarak, yüksek hacimli oltalama yerine hassas ve hedef odaklı yöntemleri tercih ediyor.
Tarayıcı Saldırı Zinciri ve Teknik Yöntemler
Scattered Spider, Browser-in-the-Browser (BitB) teknikleri ve otomatik doldurma çıkarımı gibi yöntemlerle Endpoint Detection and Response (EDR) çözümlerini aşarak kimlik bilgilerini ele geçiriyor. Çok Faktörlü Kimlik Doğrulamayı (MFA) aşan oturum token hırsızlığı, kötü amaçlı uzantılar ve JavaScript enjeksiyonları saldırı zincirinin önemli parçalarıdır. Ayrıca, Web API’leri ve yüklü uzantılar üzerinden keşif yaparak iç sistemlere erişim haritalaması gerçekleştiriyorlar.
CISO’lar İçin Çok Katmanlı Tarayıcı Güvenlik Stratejisi
Kuruluşların, kimlik bilgisi hırsızlığını önlemek için çalışma zamanı script koruması uygulaması, oturum bütünlüğünü sağlamak için bağlamsal güvenlik politikaları geliştirmesi gerekiyor. Uzantı yönetimi kapsamında, yalnızca onaylanmış ve izinleri doğrulanmış uzantılara izin verilmeli; kötü amaçlı scriptlerin çalışması engellenmelidir. Ayrıca, WebRTC, CORS gibi hassas API’ler sınırlandırılmalı ve saldırganların keşif faaliyetleri tuzaklarla yanıltılmalıdır.
Tarayıcı Telemetrisinin Güvenlik İstihbaratına Entegrasyonu
Tarayıcıdan elde edilen telemetri verilerinin SIEM, SOAR ve ITDR platformlarına entegre edilmesi, SOC ekiplerinin tehditleri daha hızlı tespit edip müdahale etmesini sağlar. Bu sayede saldırı uyarı süreleri kısalır ve genel güvenlik duruşu güçlenir.
Pratik Kullanım Senaryoları ve Öneriler
Tarayıcı tabanlı koruma, oltalama önleme, web uzantısı yönetimi, veri kaybı önleme ve BYOD güvenliği gibi alanlarda stratejik avantajlar sunar. Güvenlik liderlerine, tarayıcı zafiyetlerini değerlendirmeleri, gerçek zamanlı JavaScript koruması ve bağlamsal politikalar tanımlamaları, düzenli denetimler yapmaları ve tarayıcı tehdit avcılığını otomatikleştirmeleri önerilir.
Sonuç
Scattered Spider’ın taktikleri, kimlik tabanlı tehditlerin uç noktadan tarayıcıya kaydığını gösteriyor. Bu nedenle CISO’lar, tarayıcı güvenliğini savunmanın merkezine almalı ve çalışma zamanı farkındalığına sahip güvenlik platformlarına yatırım yapmalıdır. Böylece sadece Scattered Spider gibi saldırganlar engellenmekle kalmaz, aynı zamanda kurumsal SaaS uygulamaları ve uzaktan çalışma ortamları için güçlü bir güvenlik duruşu sağlanır.