Home / Deface / Hackerlar Ofisinizi Arıyor: FBI, Kimlik Avı Kampanyasından Dolayı Hukuk Bürolarını Uyarıyor!!

Hackerlar Ofisinizi Arıyor: FBI, Kimlik Avı Kampanyasından Dolayı Hukuk Bürolarını Uyarıyor!!

Tarafından
28 Mayıs 2025

Amerika Birleşik Devletleri Federal Soruşturma Bürosu (FBI), son iki yıldır hukuk firmalarını hedef alan Luna Moth adlı bir fidye amaçlı suç grubunun gerçekleştirdiği sosyal mühendislik saldırıları konusunda uyarıda bulundu.

FBI tarafından yayımlanan uyarıya göre, kampanya şu yöntemleri kullanıyor:
Bilgi teknolojileri (IT) temalı sosyal mühendislik aramaları ve geri arama (callback) içeren kimlik avı e-postaları. Bu yöntemlerle saldırganlar sistemlere veya cihazlara uzaktan erişim sağlıyor ve hassas verileri çalarak mağdurları şantaj yoluyla tehdit ediyor.

Luna Moth, diğer adlarıyla Chatty Spider, Silent Ransom Group (SRG), Storm-0252 ve UNC3753, en az 2022’den beri aktif olarak biliniyor. Grup özellikle geri arama kimlik avı (callback phishing) ya da telefon tabanlı saldırı dağıtımı (TOAD) adı verilen taktiği kullanıyor. Bu yöntemde, kurbanlara fatura veya abonelik ödemeleriyle ilgili zararsız gibi görünen e-postalar gönderiliyor. E-postalarda yer alan telefon numaralarını arayan kullanıcılar, aslında saldırganlarla iletişime geçmiş oluyor.Burada dikkat çekilmesi gereken önemli bir nokta şu: Luna Moth, daha önce fidye yazılımı Conti gibi zararlıları dağıtmak amacıyla gerçekleştirilen BazarCall (ya da BazaCall) kampanyalarının arkasındaki aynı hacker grubudur. Conti suç örgütünün dağılmasından sonra bu tehdit aktörleri kendi başlarına hareket etmeye başlamıştır.

Saldırı Yöntemi:

  • Kurbanlara, 24 saat içinde iptal edilmediği takdirde premium bir abonelik ücretinin alınacağı belirtilen bir e-posta gönderiliyor.
  • E-postada, iptal için müşteri hizmetleri numarasını aramaları isteniyor.
  • Arama sırasında, kurbana bir bağlantı gönderiliyor ve bir uzaktan erişim yazılımı yüklemesi yönlendiriliyor.
  • Bu şekilde, saldırganlar kurbanın sistemine yetkisiz erişim sağlıyor.

Sonraki Aşamalar:

  • Erişim sağlandıktan sonra saldırganlar, hassas verileri dışarı aktarıyor (exfiltrate) ve kurbana şantaj notu gönderiyor.
  • Bu notta, çalınan verilerin sızdırılmaması ya da karanlık ağda (dark web) satılmaması için fidye ödemesi talep ediliyor.

Mart 2025’ten Sonra Yeni Taktikler:

FBI’a göre, Luna Moth aktörleri Mart 2025 itibariyle taktik değişikliğine gitti:

  • Saldırganlar, hedef kişileri doğrudan arayıp, şirketlerinin BT (IT) departmanından bir çalışan gibi davranıyor.
  • Telefonda, çalışanın uzaktan erişim oturumuna katılması isteniyor. Bu ya e-postayla gönderilen bir bağlantı ya da belirli bir web sitesine yönlendirme ile yapılıyor.
  • Kurban erişimi verdikten sonra, “gece boyunca sistem üzerinde işlem yapılacağı” söyleniyor.

Araçlar ve Veri Sızdırma:

  • Erişim sağlandıktan sonra, saldırganlar genellikle yetki yükseltme (privilege escalation) yapıyor.
  • Rclone, WinSCP gibi meşru araçlar kullanılarak veri dışa aktarılıyor.
  • Ayrıca Zoho Assist, Syncro, AnyDesk, Splashtop, Atera gibi yasal uzaktan erişim araçları da bu saldırılarda kullanılıyor. Bu araçların yasal olması, güvenlik yazılımlarının bunları zararlı olarak algılamamasına neden oluyor.
  • Eğer cihazda yönetici yetkisi yoksa, WinSCP portable kullanılarak veri çalınıyor.

FBI’a göre bu yeni yöntemler henüz yakın zamanda gözlemlenmiş olsa da, çok etkili olmuş ve birçok sistemin ele geçirilmesiyle sonuçlanmıştır.

Güvenlik Önerileri:

FBI, şu belirtilere dikkat edilmesini öneriyor:

  • WinSCP veya Rclone bağlantılarının dış IP adreslerine kurulması
  • İsimsiz gruplardan gelen “verileriniz çalındı” temalı e-postalar ya da sesli mesajlar
  • Abonelik iptali için telefon numarası verilen şüpheli e-postalar
  • Şirketin BT departmanından biri gibi davranan beklenmedik telefon aramaları

Ek Bilgiler:

Hollanda merkezli siber güvenlik şirketi EclecticIQ, Luna Moth’un yüksek tempolu geri arama kimlik avı kampanyaları yürüttüğünü ve özellikle ABD’deki hukuk ve finans sektörlerini hedef aldığını bildirdi. Grup, bu saldırılar sırasında Reamaze Helpdesk ve benzeri uzak masaüstü yazılımları kullanıyor.

Ayrıca, Mart ayında tehdit aktörleri GoDaddy üzerinden en az 37 alan adı (domain) kaydetti. Bunların çoğu hedef alınan şirketlerin BT yardım masası/sistem destek portalları gibi görünmesi için tasarlanmıştı.
Örneğin: vorys-helpdesk[.]com

Silent Push‘un X (eski Twitter) üzerinden yaptığı paylaşımlara göre:

  • Luna Moth genellikle yardım masası temalı domainler kullanıyor.
  • Domain isimleri genellikle hedef şirketin adını içeriyor.
  • Sınırlı sayıda alan adı kayıt hizmeti (registrar) ve ad sunucusu (nameserver) kullanılıyor. En yaygını domaincontrol[.]com.

Bu saldırılar, siber güvenlik farkındalığının sadece teknik değil, sosyal mühendislik saldırılarına karşı eğitimli bir insan faktörüyle de desteklenmesi gerektiğini tekrar gösteriyor.

Kaynak :https://thehackernews.com/2025/05/hackers-are-calling-your-office-fbi.html

Çağrı Göldemir

Çağrı Göldemir

Related Posts

4 Haziran 2025
Örnek Fotoğraf
YUSİBER!
20 Mayıs 2025

Cevap bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Category List