Saldırının Genel Çerçevesi
Son dönemde SLH adlı yüksek profilli siber suç grubu, BT yardım masalarını hedef alan sesli oltalama (vishing) saldırıları için kadınları işe almak üzere finansal teşvikler sunuyor. Bu grup, önceden hazırlanmış senaryolarla sosyal mühendislik saldırılarını kolaylaştırırken, çağrı başına 500 ile 1.000 dolar arasında ödeme yapıyor. Bu taktik, yardım masası personelinin alışık olduğu geleneksel saldırgan profillerini aşmayı ve başarılı kimlik avı oranını artırmayı amaçlıyor.
Saldırı Zinciri ve Teknik Detaylar
SLH, LAPSUS$, Scattered Spider ve ShinyHunters gibi grupların birleşiminden oluşuyor ve çok faktörlü kimlik doğrulama (MFA) atlatmak için MFA prompt bombing ve SIM değiştirme gibi gelişmiş sosyal mühendislik yöntemleri kullanıyor. Saldırı zinciri genellikle şu adımlardan oluşuyor:
- BT yardım masasına vishing yoluyla erişim sağlanması,
- Önceden yazılmış senaryolarla şifre sıfırlama ve uzaktan yönetim araçlarının (RMM) yükletilmesi,
- Sanallaştırılmış ortamlarda yatay hareket, ayrıcalık yükseltme ve hassas verilerin dışarı çıkarılması,
- Fidye yazılımı dağıtımı veya veri sızıntısı ile sonuçlanabilen saldırılar.
Grup, tespit edilmekten kaçınmak için Luminati ve OxyLabs gibi meşru proxy hizmetleri ile Ngrok, Teleport ve Pinggy gibi tünelleme araçları kullanıyor. Ayrıca file.io, gofile.io, mega.nz ve transfer.sh gibi ücretsiz dosya paylaşım platformları üzerinden veri sızdırıyor.
Siber Güvenlik Ekipleri İçin Öneriler
Kurumların bu tür sosyal mühendislik saldırılarına karşı önlem alması kritik. Önerilen pratik adımlar şunlar:
- BT yardım masası ve destek personelini önceden yazılmış senaryolar ve ses taklidi teknikleri konusunda düzenli eğitime tabi tutmak,
- SMS tabanlı MFA yöntemlerinden uzaklaşarak daha güvenli çok faktörlü kimlik doğrulama çözümleri uygulamak,
- Yardım masası işlemlerinden sonra yeni kullanıcı oluşturma ve yönetici ayrıcalığı yükseltme kayıtlarını SIEM sistemleri ile detaylı şekilde denetlemek,
- EDR çözümleri ile MFA prompt bombing ve SIM swap gibi saldırı tekniklerini tespit etmeye yönelik kurallar geliştirmek,
- Ağ segmentasyonu ve Zero Trust prensipleri ile kritik sistemlere erişimi sınırlandırmak,
- Olay müdahale planlarını güncel tutarak sosyal mühendislik kaynaklı ihlallerde hızlı aksiyon almak.
Kurumsal Ortamlarda Olası Senaryo
Örneğin, bir finans kurumunda Scattered Spider aktörleri, BT yardım masasına vishing yoluyla erişim sağladıktan sonra sanal makineler oluşturup Active Directory keşfi yaparak, kritik bulut kaynaklarına (Microsoft Azure) Graph API üzerinden erişim elde edebilir. Ardından, hassas müşteri verilerini içeren Outlook posta kutusu dosyalarını Snowflake veritabanından dışarı çıkarabilirler. Bu süreçte kullanılan ADRecon gibi bulut keşif araçları, saldırganların ortamda kalıcılık sağlamasına ve yatay hareket etmesine olanak tanır.
Teknik Özet
- Kullanılan araçlar: MFA prompt bombing, SIM swap, RMM araçları, Ngrok, Teleport, Pinggy, Luminati, OxyLabs, ADRecon
- Hedef sektörler: Finans, teknoloji, bulut hizmetleri
- Yöntemler: Sosyal mühendislik, vishing, ses taklidi, sanal makine oluşturma, yatay hareket
- Önerilen savunma: Güçlü MFA, eğitim, SIEM ve EDR entegrasyonu, ağ segmentasyonu, olay müdahale planı
Bu gelişmeler ışığında, kurumların e-posta güvenliği, bulut güvenliği ve ağ segmentasyonu gibi alanlarda da önlemlerini artırması, fidye yazılımı ve diğer siber tehditlere karşı daha dirençli olmalarını sağlayacaktır.