Hediye kartları veren büyük işletmeleri hedef alan geniş kapsamlı bir dolandırıcılık kampanyası ortaya çıktı ve araştırmacılar, saldırganların ne bilgisiz ne de küçük çaplı olduğunu söylüyor. Bunun yerine, Fas dışında faaliyet gösteren bir grup sessizce kurumsal bulut sistemlerine sızdı, kimlik araçlarından yararlandı ve yeniden satış için yüksek değerli hediye kartları verdi. Kampanya, Palo Alto Networks’ün siber tehdit araştırma kolu olan güvenlik ekibi Unit 42 tarafından “Jingle Hırsızı” olarak adlandırıldı.
Dolandırıcılık nispeten basit yollarla başlar. Kimlik avı ve smishing (SMS tabanlı kimlik avı) tuzakları, küresel perakende ve tüketici hizmetleri şirketlerinin çalışanlarına gönderilir. Saldırganlar, kurbanları kimlik bilgilerini vermeleri için kandırmak amacıyla tanıdık, güvenilir kuruluşların (ör. kar amacı gütmeyen kuruluşlar, dahili BT bildirimleri veya biletleme sistemi güncellemeleri) kimliğine bürünür. Bir şirketin bulut ortamına girdikten sonra keşif, yanal hareket ve sebat ile devam ederler.
Dikkate değer olan, kötü amaçlı yazılımların ne kadar az kullanıldığıdır. Saldırganlar, uç noktalara kötü amaçlı kod bırakmak yerine ezici bir çoğunlukla bulut kimliğinin kötüye kullanılmasına güveniyor. Hileli cihazları kaydeder, kötü amaçlı kimlik doğrulama uygulamalarını kaydeder, hassas onay e-postalarını saldırgan tarafından kontrol edilen hesaplara ileten gelen kutusu kuralları belirler ve hediye kartı iş akışlarını ve düzenleme sistemlerini izleyen belge paylaşımlarına sessizce erişirler.
Bir olayda, tehdit aktörleri yaklaşık on ay boyunca tek bir kurumsal ortama erişimi sürdürdü ve altmıştan fazla kullanıcı hesabını tehlikeye attı.
Sıra tipik olarak üç aşamayı takip eder:
İlk uzlaşma: Kimlik avı e-postası kimlik bilgilerinin çıkarılmasına yol açar. URL meşru görünebilir, ancak aslında kullanıcıyı düşmanca bir siteye yönlendirir.
Bulut keşfi ve yanal hareket: Oturum açtıktan sonra saldırganlar SharePoint, OneDrive, Exchange ve diğer kaynakları keşfederek hediye kartı verme iş akışlarını, onay zincirlerini, bilet dışarı aktarmalarını, VPN erişim kılavuzlarını ve dahili elektronik tabloları arar.
Dolandırıcılık yürütme: Doğru uygulama veya iş akışı belirlendikten sonra saldırganlar, ele geçirilen kimlik bilgilerini kullanarak genellikle yüksek değerli hediye kartları verir. Daha sonra bu kartları nakde çeviriyorlar veya gri piyasa kanallarından geçiriyorlar. Tüm bunlar minimum günlük izleriyle ve kötü amaçlı yazılım olmadan yapılır.
Dolandırıcılar için en büyük avantajlardan biri, hediye kartlarının birçok şirket tarafından dahili olarak nasıl ele alındığıdır. Bu sistemler genellikle temel mali kontrollerin dışında yer aldığından, bankacılık sistemlerine göre daha az izlenir ve kaydedilirler. Bu, saldırganlara hem fırsat hem de koruma sağlar.
Hediye kartları ideal hedeflerdir
Çeşitli faktörler, hediye kartlarını siber dolandırıcılık operasyonları için özellikle cazip bir hedef haline getiriyor. Birincisi, kullanmak için minimum düzeyde kişisel veri gerektirirler ve nakde dönüştürülebilir veya anonim olarak kullanılabilirler, bu da onların izlenmesini zorlaştırır. İkincisi, düzenleme sistemleri genellikle geniş dahili izinlere ve ödeme kartı sistemlerinden daha zayıf izlemeye sahiptir. Üçüncüsü, hediye kartları yoluyla yapılan dolandırıcılık genellikle finansal risk ekiplerinin hemen dikkatinden kaçar çünkü tutarlar artana kadar meşru işlemler olarak görünebilir.
Mevsimsel zamanlama da bir rol oynar. “Jingle Thief” kampanyası, hediye kartı verilmesinin yüksek olduğu ve personelin daha az dikkatli olabileceği tatil dönemlerinde artan aktiviteden dolayı adlandırılmıştır. Saldırganlar, saldırılarını savunmaların gerildiği zamana göre zamanlar.
Faslı bilgisayar korsanlığı grubu ve taktikleri
Birim 42’deki araştırmacılar, bu kampanyayı orta düzeyde bir güvenle, CL-CRI-1032 olarak izlenen bir tehdit aktörü kümesine bağlıyor. Bu kümenin, her ikisi de Fas merkezli ve en azından 2021’in sonlarından beri aktif olan Atlas Lion ve Storm-0539 olarak bilinen gruplarla örtüştüğüne inanılıyor.
Alışılmadık olan, devlet destekli gruplara benzer şekilde davranmalarıdır: uzun bekleme süreleri, yoğun keşif ve bulutta yerel operasyonlar. Ancak siyasi olmaktan ziyade finansal olarak motive oluyorlar. Kötü amaçlı yazılımlardan ve uç nokta saldırılarından kasıtlı olarak kaçınırlar çünkü bunlar gürültüyü ve algılama riskini artırır. Tamamen kimlik katmanının içinde çalışmayı tercih ederler.
Gizliliklerinin bir başka örneği de cihaz kaydını nasıl kötüye kullandıklarıdır. Kimlik bilgilerini aldıktan sonra, kendi sanal makinelerini veya cihazlarını hedef kuruluşun etki alanı altına kaydederler ve genellikle uyum sağlamak için bulut altyapısından yararlanırlar. Kötü amaçlı cihaz ortamın bir parçası olduğunda, meşru bir kurumsal uç nokta gibi davranır.
Şirketlerin kendilerini savunmak için yapmaları gerekenler
Perakende, tüketici hizmetleri veya hediye kartı veren herhangi bir şirket için risk modeli değişti. Kimlik ve bulut iş akışları artık ön saflarda yer alıyor. Savunucular, kötü amaçlı yazılım önleme ve kimlik kullanımı, cihaz kaydı, dahili iş akışı görünürlüğü ve etki alanı genelinde algılamaya odaklanmalıdır.
Nispeten düşük riskli bir dolandırıcılık alanı (hediye kartı kodlarını çalmak) olarak başlayan şey, karmaşık bir bulut tabanlı suça dönüştü. Jingle Thief kampanyası, saldırganların artık nakit para gibi para kazanılan varlıkları çalmak için kimlik sistemlerinden, bulut iş yüklerinden ve dahili iş akışlarından nasıl yararlandığını gösteriyor. Hediye kartı veren işletmelerin artık bu sistemleri büyük finansal risk alanları olarak görmesi gerekiyor.
Hediye kartı verme işini yürüten bir kuruluşun parçasıysanız mesaj açıktır: Düşman zaten kimlik altyapınızın içinde olabilir, bulut ve kurumsal iş akışlarınızı sabırla haritalandırıyor olabilir. İdari bir kolaylık olduğunu düşündüğünüz şey artık dolandırıcılık için bir geçit olabilir.