Fidye yazılımı, bilgisayar korsanları tarafından kurbanların verilerini kötüye kullanmak ve fidye ödenene kadar verileri kilitlemek için kullanılır.
Bu siber saldırı yöntemi, verilerin bireylere ve şirketlere yakınlığından ve canlılığından yararlandığı için karlıdır, dolayısıyla hızlı geri dönüşler için ödeme yapmaktan başka çareleri kalmaz.
İstila, yük dağıtımını vurgulayan çatallı bir IcedID varyantı içeren bir e-postayla başladı.
Davetsiz misafir, ilk erişimi elde ettikten sonra uzaktan kontrol için bilgisayara ScreenConnect’i yükledi, Cobalt Strike işaretlerini kötü amaçla kullandı ve kimlik bilgileri elde etmek ve etki alanı denetleyicileri ve sunucuları içinde yanal olarak hareket etmek için CSharp Streamer RAT’ı dağıttı.
Tanımlama aşamasında hassas bilgiler, rclone’un çıkarımını gösterdiği özel bir program olan ‘confucius_cpp’ye yerleştirildi.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Sekiz gün boyunca, WMI kullanarak ScreenConnect yükleyicilerinin ana bilgisayarlar arasında sistematik bir dağıtımını gerçekleştirdiler ve sonunda yedeklemeleri sildikten sonra ALPHV fidye yazılımı verilerini teslim ettiler.
ALPHV Fidye Yazılımı Dağıtımı
Avı benioku ve Visual Basic Komut Dosyası (VBS) içeren bir klasörü indirip açması için kandıran kötü amaçlı spam elektronik posta, ilk erişim vektörü olarak görev yaptı.
VBS’nin etkinleştirilmesi, başka bir IcedID DLL yükünü düşürüp çalıştıran, enfeksiyon zincirini tamamlayan ve DFIR raporunu okuyan gömülü, gizlenmiş bir IcedID yükleyici DLL’sini çalıştırdı.
Bu, bankacılık faaliyetleri yerine yük dağıtımıyla ilgilenen bir IcedID çatalını dağıtmak için aynı tekniğin kullanıldığı bilinen bir kötü amaçlı etkinlikle tutarlıdır.
Tehdit aktörü, wmiexec ve RDP oturumları aracılığıyla çalıştırılan gizli kurulum programlarını kullanarak ScreenConnect uzaktan erişim araçlarını kullandı.
Cobalt Strike işaretçilerini çıkarmak için bitsadmin, certutil ve PowerShell dahil olmak üzere çeşitli teknikler kullanıldı.
CSharp Streamer RAT, LSASS kimlik bilgisi dökümü, yanal hareket ve C2 iletişimlerinde zamanlanmış görevler yoluyla kalıcılığı korudu.
IcedID, zamanlanmış görevleri kullanarak kalıcılığını sağlarken, ScreenConnect yeniden başlatmalarda kalıcı hale getirildi.
Winlogon.exe ve rundll32.exe’ye yanal hareket sırasında işlem enjeksiyonu gözlemlendi. Yeniden adlandırılan yükleyiciler oyuncu tarafından silindi.
Temel faaliyetler arasında, bellek analizi yoluyla doğrulanan LSASS kimlik bilgisi dökümü yer alıyordu ve kimlik bilgilerinin toplanması için sahil başından bir etki alanı denetleyicisine dcsync gerçekleştirildi.
Bunu, tehdit aktörünün IcedID aracılığıyla başlatılan yerel Windows yardımcı programlarını kullanarak ilk tanımayı gerçekleştirmesi ve daha sonra daha fazla keşif komutu için ScreenConnect’ten faydalanması izledi.
Ağ taraması için SoftPerfect netscan farklı günlerde gerçekleştirildi ve IP aralıklarının yanı sıra RPC, SMB, RDP ve Veeam yedekleme bağlantı noktalarını hedef aldı.
ScreenConnect yükleyicileri daha sonra SMB aracılığıyla yanal olarak kopyalandı ve uzaktan kontrol sağlamak için wmiexec.py ile dağıtıldı. Saldırgan, CSharp Streamer aracılığıyla proxy oluşturma da dahil olmak üzere yanal hareket için RDP’yi yoğun bir şekilde kullandı.
Süzmeden önce, confucius_cpp adı verilen özel bir araç, sistemleri LDAP sorgusu ile numaralandırdı, anahtar kelimelere dayalı paylaşımlara erişti ve hassas bilgileri sıkıştırdı. Saldırgan ayrıca Firefox kurulumunu kullanarak belgeleri açtı.
Tehdit aktörü, izinsiz giriş sırasında birden fazla araçtan yararlandı:-
- Modalefastnow ile iletişim kurarak ilk erişim için IcedID[.]iletişim
- Takip edilen C2 altyapısına bağlanan ana bilgisayarlar arasında Cobalt Strike işaretçileri
- Dönen bağlantı noktaları üzerinden WebSockets kullanarak 109.236.80.191’de CSharp Streamer RAT
- wmiexec.py aracılığıyla yürütülen yeniden adlandırılmış ikili dosyalar aracılığıyla dağıtılan ScreenConnect uzaktan erişim araçları
Firefox, belge önizlemesi ve veri sızıntısı için bir VBS komut dosyası aracılığıyla yürütülen rclone’u indirmek için kullanıldı.
Son yük, yedekleme sunucusunda hazırlanan, ardından xcopy ve yedeklemeler silindikten sonra WMI tarafından başlatılan yürütme yoluyla ana bilgisayarlara dağıtılan ALPHV fidye yazılımıydı.
Şifreleme sonrasında grubun Twitter hesabına atıfta bulunan bir fidye notu bırakıldı.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo