Sızdırılan rapora göre ‘0ktapus’ bilgisayar korsanları geri döndü ve teknoloji ve oyun şirketlerini hedef alıyor • Tmzilla
Tmzilla’ın elde ettiği bir rapora göre, geçen yıl 130’dan fazla kuruluşu vuran ve yaklaşık 10.000 çalışanın kimlik bilgilerini çalan bilgisayar korsanları hala birkaç teknoloji ve video oyunu şirketini hedefliyor.
Siber güvenlik firması CrowdStrike tarafından hazırlanan rapor, bilgisayar korsanlarını “Scattered Spider” olarak adlandırıyor. Şirket, daha önce halka açık bir raporda, başka bir siber güvenlik firması olan Group-IB tarafından geçen yıl yayınlanan rapora açık bir şekilde atıfta bulunarak bu grubun “Kavrulmuş 0ktapus” olarak da bilindiğini söyledi.
Tmzilla’ın elde ettiğine benzer raporlar, tehdit istihbaratı şirketleri tarafından müşterileri için, müşterileri doğrudan hedef alan bilgisayar korsanlarına veya aynı sektördeki diğer şirketlere karşı uyarmak amacıyla hazırlanır. Raporda, CrowdStrike, doğrudan hedeflenen kuruluşlardan elde ettiği verilere atıfta bulunarak, “ek adli eserler” olmadığı göz önüne alındığında, bilgisayar korsanlığı kampanyasına ilişkin sınırlı görünürlüğe sahip olduğunu belirtiyor. Bu nedenle şirket, bunun Scattered Spider faaliyeti olduğuna dair değerlendirmesinde “güvensizliğinin” düşük olduğunu kabul ediyor.
Basınla konuşma yetkileri olmadığı için isimlerinin gizli kalmasını isteyen iki siber güvenlik görevlisi, sektördeki anlayışın Scattered Spider’ın 0ktapus ile aynı grup olduğunu söyledi.
“Scattered Spider, Ocak 2023’te çok sayıda kimlik avı sayfası dağıtmaya devam etti. CrowdStrike Intelligence, rakibin hedef kapsamını büyük olasılıkla oyun veya finansal yazılımda uzmanlaşmış teknoloji sektörü şirketlerini içerecek şekilde genişlettiğini ve öncelikli olarak iş süreci dış kaynak kullanımı (BPO) şirketlerine ve hücresel şirketlere odaklandığını değerlendiriyor. sağlayıcılar”, halka açık olmayan raporu okuyun.
Bunun geçen ay Riot Games’i hackleyen grupla aynı grup olup olmadığı belli değil, ancak CrowdStrike raporunda yer alan kimlik avı etki alanları listesinde, şirketin adını içerdiği göz önüne alındığında, video oyunu devini hedef almak için yapıldığı açıkça görülüyor. URL.
Kimlik avı etki alanları arasında, video oyun yapımcıları Roblox ve Zynga, e-posta pazarlama ve haber bülteni devi Mailchimp ve ana şirketi Intuit, Salesforce, Comcast ve Grubhub’ın kimliğine bürünmek için uyarlanmış diğerleri de var. Mailchimp, Intuit ve diğer teknoloji devlerinin de aralarında bulunduğu şirketlere müşteri hizmetleri sağlayan bir yüklenici olan TaskUs da listede yer aldı.
Ocak ayında Mailchimp, saldırıya uğradığını açıkladı – altı ay içinde şirkete karşı ikinci saldırı. O sırada Mailchimp, bilgisayar korsanlarının kimlik avı yoluyla çalışanlarını hedeflediğini söyledi. Bu olayın Scattered Spider’ın faaliyetleriyle bağlantılı olup olmadığı belli değil. Mailchimp, yorum talebine yanıt vermedi.
Riot yorum yapmaktan kaçındı.
Salesforce sözcüsü Allen Tsai, şirketin “sektör genelindeki kimlik avı kampanyalarının farkında olduğunu ve bunları izlediğini” söyledi.
Tsai bir e-postada, “Şu anda, belirtilen raporla ilgili müşteri verilerine yetkisiz erişime dair hiçbir göstergemiz yok” dedi.
Bir Intuit sözcüsü, raporu görmedikleri için yorum yapmadı.
Roblox, Zynga, TaskUs, Comcast ve Grubhub, yorum talebine hemen yanıt vermedi.
Rapor, bilgisayar korsanlığı grubunun kimlik avı sayfalarının “çoğunluğunun” Okta oturum açma portallarını taklit edecek şekilde tasarlandığını, “çok daha küçük bir sayının Microsoft kimliğine büründüğünü” söyledi.
CrowdStrike, yorum talebine yanıt vermedi.
Benzer bir saldırının kurbanı olan bir Google Fi abonesi misiniz? Ayrıca şirketten, size yönelik saldırıyla ilgili kişiselleştirilmiş bir bildirim aldınız mı? Sizden haber almak isteriz. Lorenzo Franceschi-Bicchierai ile Signal üzerinden +1 917 257 1382 numaralı telefondan veya Wickr, Telegram ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek güvenli bir şekilde iletişime geçebilirsiniz. Tmzilla ile SecureDrop aracılığıyla da iletişime geçebilirsiniz.
