Federalni istražni biro (FBI) izdao je kritično upozorenje o sve sofisticiranijoj sajber kriminalnoj organizaciji poznatoj kao Silent Ransom Group (SRG), koja provodi ciljane napade na advokatske firme i druge organizacije putem obmanjujućih poziva IT podršci.
Ovaj napadač, koji djeluje i pod pseudonimima Luna Moth, Chatty Spider i UNC3753, aktivan je od 2022. godine i nedavno je razvio svoju taktiku kako bi postao direktniji i agresivniji u kompromitovanju sistema žrtve.
U početku poznat po svojim kampanjama za krađu podataka putem povratnih poziva koje su se maskirale kao usluge pretplate koje zahtijevaju pozive za otkazivanje, SRG je značajno transformisao svoju operativnu metodologiju.
Grupa je u prošlosti slala lažne e-poruke u kojima je tvrdila da plaća male troškove pretplate, podstičući žrtve da pozovu navedeni broj gdje bi ih prijetnje vodile ka preuzimanju softvera za daljinski pristup.
Analitičari Centra za pritužbe na internet kriminal (IC3) utvrdili su da je, počevši od marta 2025. godine, grupa prešla na proaktivniji pristup, direktno kontaktirajući zaposlenike dok se lažno predstavljala kao osoblje IT odjela svoje kompanije.
Uticaj poslovanja SRG-a bio je posebno ozbiljan u pravnom sektoru, gdje su advokatske firme postale primarne mete zbog izuzetno osjetljive prirode podataka pravne industrije.
Sklonost grupe da cilja pravne organizacije proizilazi iz vrijednih povjerljivih informacija koje te organizacije posjeduju, uključujući komunikaciju s klijentima, spise predmeta i privilegovane materijale o odnosima advokata i klijenata.
Pored advokatskih firmi, SRG je također viktimizirao kompanije u medicinskoj i osiguravajućoj industriji, demonstrirajući svoju prilagodljivost u različitim sektorima vrijednim podacima.
Trenutna metodologija napada koju koristi grupa predstavlja zabrinjavajuću evoluciju u taktikama socijalnog inženjeringa , jer iskorištavaju odnos povjerenja između zaposlenika i njihovih IT timova za podršku kako bi dobili neovlašteni pristup sistemu.
Napredni društveni inženjering i iskorištavanje udaljenog pristupa
SRG-ova sofisticirana metodologija napada uveliko se oslanja na iskorištavanje legitimnih alata za udaljeni pristup kako bi se izbjeglo otkrivanje tradicionalnim sigurnosnim mjerama.
Kada hakeri uspješno uvjere zaposlenike da odobre udaljeni pristup putem platformi kao što su Zoho Assist, Syncro, AnyDesk, Splashtop ili Atera, oni upućuju žrtve da se radovi na održavanju moraju obaviti preko noći, pružajući pokriće za produžene periode neovlaštenog pristupa.
Jednom kada uđe u kompromitovani sistem, SRG pokazuje izuzetnu efikasnost provođenjem minimalne eskalacije privilegija i trenutnim prelaskom na aktivnosti eksfiltracije podataka koristeći alate poput WinSCP-a za operacije sigurnog kopiranja u sistemu Windows ili skrivene verzije Rclone-a za transfere u oblaku.
Tehnička vještina grupe je očigledna u njihovoj sposobnosti djelovanja unutar okruženja žrtve uz minimalne forenzičke artefakte, što njihove aktivnosti čini posebno izazovnim za mrežne branioce za otkrivanje i pripisivanje.
Izvor: CyberSecurityNews
