Son aylarda, siber güvenlik araştırmacıları, önde gelen fidye yazılımı operasyonları arasında karışık bir gizli ittifak ağına maruz kaldılar ve savunucuların bu tehditleri nasıl algıladıklarını yeniden şekillendirdi.
Tarihsel olarak farklı varlıklar (Conti, Lockbit, Evil Corp ve diğerleri) olarak ele alındı.
Dönüşüm, 2014’ün ortalarında Conti yayından kaldırma gibi büyük aksaklıklardan sonra hızlandı ve bağlı kuruluşları yeni afişler altında dağıtmaya ve yeniden markalaşmaya zorladı.
Sonuç, sadece fidye yazılımı aile isimlerine dayalı atıfın giderek daha güvenilmez olduğu kırık bir ekosistemdir.
Domaintools analistleri, örtüşen altyapı ayak izlerini ve izole cezai gruplardan ziyade kaynak havuzuna işaret eden ikili eserleri tanımladılar.
Pasif DNS kayıtları, paylaşılan SSL sertifikaları ve yinelenen komut ve kontrol alanları, birden fazla grubun aynı kurşun geçirmez barındırma sağlayıcılarından yararlandığını ve işbirliği veya ortaklık düzeyinde ortak bağlantılar önerdiğini ortaya koydu.
.webp)
Bu altyapı örtüşüyor, savunucuların yüzey düzeyinde marka etiketleri yerine temel varlık ve davranışları izlemesi gerekliliğinin altını çiziyor.
Altyapının ötesinde, ayrıntılı kod analizi, şifreleme rutinlerinde ve kalıcılık modüllerinde çarpıcı benzerlikleri ortaya çıkarmıştır.
Hem Black Basta hem de Qakbot için yükleyici aşamalarının karşılaştırmalı bir şekilde sökülmesi, bellek ikametgahı şifrelemesindeki özdeş opcode dizilerini vurgular ve kod yeniden kullanımını veya doğrudan soyunu gösterir.
Bir örnekte, Black Basta’nın ilk yükleyicisinde bulunan şifre çözme saplaması, sadece ofset değerlerine göre farklılık gösteren Qakbot rutinini yakından yansıtır:-
for (int i = 0; i < encryptedSize; i++) {
decrypted[i] = encrypted[i] ^ key[(i + keyOffset) % keyLen];
}Bu snippet, afin tuş indekslemesinin, birden fazla kötü amaçlı yazılım ailesinde polimorfik şifrelemeyi nasıl mümkün kıldığını ve imzaya dayalı tespiti karmaşıklaştırmayı nasıl gösteriyor.
Enfeksiyon Mekanizması: Filelsiz dağıtım ve kalıcılık
Enfeksiyon mekanizmasına daha derinlemesine girmek, uç nokta savunmalarından kaçınmak için tasarlanmış sofistike bir filtrelemesiz yaklaşımı ortaya koymaktadır.
Saldırganlar ilk olarak açık bir RDP hizmetleri veya kimlik avı vektörlerini bellekte hafif bir PowerShell yükleyicisini dağıtmak için kullanırlar.
Yürütüldükten sonra, bu yükleyici Windows API'larını kullanır VirtualAlloc Ve WriteProcessMemory doğrudan ikinci aşama yükü enjekte etme işlevleri explorer.exe işlem.
Örnek bir kalıcılık taktiği, altında bir kayıt defteri anahtarı yazmayı içerir. HKCU:\Software\Microsoft\Windows\CurrentVersion\Run Bu, kullanıcı oturum açısında Base64 kodlu parametrelerle yükleyiciyi yürütür.
Domaintools araştırmacıları, bu bellek içi enjeksiyonun sadece geleneksel AV taramalarını atlamakla kalmayıp aynı zamanda normal operasyonlarla karışmak için meşru sistem ikili dosyalarını da kullandığını belirtti.
Bu gizli ittifakları ve enfeksiyon taktiklerini anlayarak, siber güvenlik ekipleri, paylaşılan altyapı ve kod kalıplarının tespitine öncelik vererek, insan güdümlü modülerlik ve hızlı yeniden markalaşma tarafından tanımlanan bir tehdit manzarasına karşı daha esnek savunmalar sağlayabilir.
Find this Story Interesting! Follow us on Google News, LinkedIn, and X to Get More Instant Updates.