Bridewell’in Siber Tehdit İstihbaratı (CTI) ekibi, 2023 kampanyalarında kullanılan daha önce tespit edilmemiş Ursnif altyapısını keşfetti ve bu, kötü amaçlı yazılım operatörlerinin bu oldukça zor altyapıyı henüz kullanmadığını gösteriyor.
Ursnif Bankacılık Kötü Amaçlı Yazılımları
Başlangıçta Gozi olarak da bilinen bir bankacılık truva atı olan Ursnif, bir fidye yazılımı ve veri hırsızlığı kolaylaştırıcısına dönüştü ve en son varyantı olan LDR4, Haziran 2022’de Mandiant tarafından tanımlandı ve aşağıdakiler gibi kötü amaçlı yazılım saflarına katıldı:-
Ocak 2023’te bir DFIR raporu, tehdit aktörü tarafından meşru RMM araçları Atera ve Splashtop’un ek kullanımıyla birlikte, Urnsnif arka kapısını içeren bir kampanyayı, ardından Cobalt Strike konuşlandırmasını ve müteakip veri hırsızlığını içeren bir kampanyayı vurguladı.
Kötü amaçlı bir ISO dosyası aracılığıyla Ursnif arka kapısına bir kimlik avı e-postası teslim edildi. Mart 2023’te eSentire, meşru araçlar kılığında Redline ve Ursnif gibi çeşitli ikinci aşama yükleri bırakmak için BatLoader kullanan bir Google Ads kampanyasını ve ardından kurumsal ortamlarda daha fazla izinsiz giriş etkinliği için Cobalt Strike dağıtımını belgeledi.
Ursnif Altyapı Ortaya Çıktı
Yeni Ursnif IP adreslerinin peşinde olan araştırmacılar, yakın zamanda yayınlananları inceledi. İlişkili SSL sertifikalarında ayırt edici özellikler keşfettiler ve bu adresler için vahşi ortamda potansiyel avlanma fırsatlarının tanımlanmasına yol açtılar.
Uzmanlar, tanımlanabilir özelliklerden ve ek kriterlerden yararlanarak, yeni geliştirilen Ursnif avlanma kuralıyla uyumlu 72 ek ilgi sunucusunu başarıyla saptadı ve bu sunucularla ilişkili coğrafi barındırma konumlarını ve barındırma sağlayıcılarını belirlemelerine olanak sağladı.
Aşağıdaki resimde, tüm Barındırma Sağlayıcılarından bahsedilmektedir: –
Güvenlik sağlayıcıları, araştırmacıların varlıklarını tespit eden analizlerine rağmen, Ursnif dosyalarıyla iletişim kuran 23 Ursnif C2 sunucusundan altısını henüz rapor etmedi veya tespit etmedi.
Aşağıda, tespit edilen 6 C2 sunucusundan bahsetmiştik:-
- 95[.]46[.]8[.]157
- 193[.]164[.]149[.]143
- 79[.]133[.]124[.]62
- 45[.]11[.]181[.]117
- 92[.]38[.]169[.]142
- 31[.]214[.]157[.]31
Analizden sonra, altyapının yaklaşık %30’unun Ursnif olarak algılanan dosyalarla iletişimi ortaya çıkardığı, tespit edilen Ursnif C2’ler arasında Virus Total’de ortalama algılama oranının yalnızca 4,78 olduğu; ayrıca, IP adreslerinin yaklaşık %71,3’ü herhangi bir dosyayla iletişim göstermedi.
Tehdit aktörleri tarafından kullanılan bir arka kapı olan Ursnif, fidye yazılımlarına ve veri hırsızlığına açılan bir kapı olduğu için kuruluşlar için önemli bir risk oluşturuyor.
Aynı zamanda, genellikle makro etkin ofis dosyaları veya Google Reklam kampanyaları yoluyla elde edilen kötü amaçlı yükleyiciler gibi kötü amaçlı belgeler aracılığıyla dağıtılır.
Ursnif, bir bankacılık truva atından fidye yazılımı saldırılarına yardımcı olmaya dönüştü ve C2 altyapısı aracılığıyla CTI ekipleri tarafından izlenebilir, bu da savunucuların hızlı bir şekilde yanıt vermesini ve fidye yazılımı izinsiz girişlerini önlemesini sağlar.
Azaltmalar
Aşağıda, siber güvenlik araştırmacıları tarafından önerilen tüm azaltmalardan bahsettik: –
- Çalışanlarınızın bilinmeyen veya şüpheli kaynaklardan gönderilen ekleri açmanın risklerini bildiğinden emin olun.
- Bir uygulama kontrol politikası ile güvenilmeyen kaynaklardan gelen yetkisiz uygulamaları sınırlayın.
- Ursnif enfeksiyonlarını tespit etmek ve önlemek için kuruluşunuzun antivirüs yazılımının ve güvenlik duvarlarının en son sürümünü kullandığından emin olun.
- Ekte listelenen IoC’leri tespit etmek için referans setleri uygulayın.
- Kuruluşunuzun güvende olduğundan emin olmak için, kendisini hedef alan tehditleri proaktif olarak izleyen, algılayan ve bunlara yanıt veren bir Yönetilen Algılama ve Yanıt (MDR) hizmeti uygulamak çok önemlidir.
- Bir Güvenlik Açığı Yönetimi hizmetiyle kuruluşunuzun ağındaki ve sistemlerindeki güvenlik açıklarını değerlendirin ve düzeltin.
- Bir Siber Tehdit İstihbaratı (CTI) hizmetiyle kuruluşunuzun siber güvenlik duruşunu geliştirin.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin
