Son analizler, kurumsal ortamlara yönelik karmaşık bir siber saldırı kampanyasında, sesli oltalama (vishing) ve fiziksel ofis işgallerinin birlikte kullanıldığını ortaya koyuyor. Bu operasyonlar, özellikle hukuk firmaları ve finans sektöründeki şirketleri hedef alıyor ve ABD merkezli gerçekleşiyor.
Saldırı Zinciri ve Teknik Yöntemler
Saldırganlar, öncelikle fatura veya veri taşıma gibi gündelik iş süreçlerine dair e-posta temelli sosyal mühendislik yöntemleriyle hedeflerle iletişim kuruyor. Bu e-postalarda zararsız görünen kısa mesajlar yer almakta, aktif bağlantı veya kötü amaçlı dosya bulunmamaktadır. Amaç, hedefin güvenini kazanarak sesli aramalarla uzaktan erişim için ekran paylaşımı oturumları başlatmasını sağlamaktır.
Ardından, AnyDesk, Bomgar, SuperOps RMM veya Zoho Assist gibi meşru uzaktan masaüstü yazılımlarının kurulması yönünde rehberlik yapılıyor. Bu kurulum talimatları, kendini imha eden notlar gönderen “privnote.com” gibi servisler üzerinden iletiliyor. Böylece saldırganlar, hedef sistemlerde kalıcı erişim elde ediyor.
Fiziksel erişim yöntemleri de dikkat çekici. Bazı vakalarda saldırganlar, IT teknisyeni kılığında kurumsal ofislere girerek USB bellekler aracılığıyla veri çalma girişiminde bulunuyor. Bu yöntem, FBI tarafından da uyarılmış ve UNC3753 olarak adlandırılan tehdit aktörünün yeteneklerindeki önemli bir artış olarak değerlendiriliyor.
Hangi Sistemler ve Veriler Risk Altında?
Hedeflenen veriler arasında kişisel tanımlayıcı bilgiler (PII), finansal kayıtlar ve gizli hukuki sözleşmeler bulunuyor. Saldırganlar, kurumsal sanal masaüstü altyapısına (VDI) doğrudan erişim sağlayarak yerel ve bulut tabanlı dosya sistemlerinde derinlemesine veri taraması yapıyor. Vergi dosyaları, denetim raporları ve sosyal güvenlik numaraları gibi kritik bilgiler de hedefler arasında.
Kampanya, 2025 Mart ayından itibaren Zoom, Microsoft Teams ve Quick Assist gibi kurumsal iletişim platformları üzerinden gerçekleştirilen ekran paylaşımı oturumlarıyla hızlandı. Bu yöntemle geleneksel güvenlik önlemleri, çok faktörlü kimlik doğrulama (MFA) ve ağ segmentasyonu gibi kontroller aşılabiliyor.
Tehdit Aktörlerinin Altyapısı ve Operasyon Hızı
Tehdit aktörleri, DNS Fast Flux teknolojisi kullanarak alan adlarının engellenmesini zorlaştırıyor. Botnet ağı, Latin Amerika, Doğu Avrupa, Orta Asya, Orta Doğu, Afrika, Doğu Asya ve Karayipler’de 18 ülkede 22 farklı internet servis sağlayıcısı üzerinden dağıtılmış durumda. Bu altyapı tamamen tüketici ISP’lerine ait IP adreslerinden oluşuyor ve veri merkezlerine rastlanmıyor.
Operasyonun tamamı, ilk temas anından veri hırsızlığı ve fidye talebine kadar tek iş günü içinde tamamlanabiliyor. Veri hırsızlığı, WinSCP veya Rclone gibi araçlarla ya da hedefin posta kutusundan tehdit aktörünün kontrolündeki e-posta adreslerine gönderiliyor. Fidye talepleri genellikle 30 dakika içinde iletiliyor ve üç günlük süre veriliyor. Yanıt alınmazsa, çalışanlar ve müşterilere doğrudan bilgilendirme yapılacağı ve verilerin sızdırılacağı tehdidi savruluyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Çalışanlara yönelik sesli oltalama (vishing) farkındalık eğitimleri düzenleyin.
- Uzaktan erişim yazılımlarının kurulumu için çok faktörlü kimlik doğrulamayı zorunlu kılın.
- Kurumsal iletişim platformlarında ekran paylaşımı taleplerini doğrulama prosedürleri oluşturun.
- Fiziksel erişim kontrollerini sıkılaştırarak, ziyaretçi ve teknik personel girişlerini izleyin.
- EDR ve SIEM sistemleriyle anormal dosya erişim ve veri transferlerini gerçek zamanlı takip edin.
- DNS Fast Flux gibi altyapıların tespiti için ağ trafiği analiz araçlarını kullanın.
- Veri sızıntısı olaylarına karşı olay müdahale planları hazırlayın ve düzenli tatbikatlar yapın.
- Hassas verilerin bulunduğu klasörler için erişim izinlerini sıkılaştırın ve bulut güvenliği politikalarını güncel tutun.
Kurumsal Ortamlarda Olası Senaryo
Örneğin bir hukuk firmasında, saldırganlar fatura ile ilgili bir e-posta göndererek IT destek personeli olduklarını iddia eder. Hedef kişi, güvenlik sorunu olduğu bahanesiyle Zoom üzerinden ekran paylaşımı yapar ve uzaktan yönetim yazılımı kurar. Saldırganlar, bu erişimle kritik müşteri sözleşmelerine ulaşır, verileri dışa aktarır ve kısa sürede fidye talebinde bulunur. Bu süreç, kurumun itibarını ve finansal durumunu ciddi şekilde tehdit eder.