Tehdit aktörleri, aldatıcı kötüverizasyon stratejileri yoluyla kuruluşları hedeflemek için azot fidye yazılımı kampanyasından yararlandı.
Son araştırmalar, Bing gibi platformlarda kötü niyetli reklamlar aracılığıyla yayılan sahte bir “WINSCP” yükleyicisi gibi sahte yazılım indirmelerini içeren rahatsız edici etkili bir yöntem ortaya çıkarmıştır.
Belgelenmiş bir vaka, Microsoft Edge aracılığıyla “Winscp İndir” arayan bir kullanıcının FTP-WINSCP’den yeniden yönlendirildiğini ortaya çıkardı.[.]tehlikeye atılan bir WordPress sitesine org.
.png
)
Bu site, kötü amaçlı bir zip dosyası, winscp-6.3.6-setup.zip (sha-256: fa3eca4d53a1b7c4cfcd14f642ed5f8a8a864f56a8a47acbf5cf11a6c5d2afa2), maliary dlls ile birlikte.
Yürütme üzerine, bu DLL sideloading’i tetikledi, WINSCP’yi ön plana takarken, azot yükleyici DLL’yi gizlice yükleyerek, nihayetinde Blackcat fidye yazılımını dağıtan daha geniş bir saldırı zinciri için bir başlangıç tabanı oluşturdu.
Kobalt grev işaretleri ve kütük temizleme tespit çabaları
Meydan okulu sistemlerin daha fazla adli analizi, yanal hareketi kolaylaştırmak ve hedeflenen ağlar içinde kalıcılığı korumak için kötü şöhretli bir sarım sonrası çerçeve olan kobalt grevinin kapsamlı kullanımını ortaya çıkarmıştır.
Müfettişler Intel64.exe ve tcpp.exe gibi şüpheli yürütülebilir ürünleri “hasta sıfır” sistemlerinde, Thor gibi araçlarla, yinelenen XOR anahtarı 0x2E gibi bayt desenleri aracılığıyla potansiyel kobalt grev konfigürasyonlarını işaretlediler.
CyberChef kullanarak ve Sentinel One’ın CobaltStrikarser ile ayrıştırma, iç IP adreslerini açıkladı ve hasta sıfır boyunca dönen işaretler, genellikle yük enjeksiyonu için gpupdate.exe gibi kurban işlemleri kullanarak.
Black Basta da dahil olmak üzere birden fazla tehdit aktörüne bağlı bir filigran (678358251), kampanyalar arasında yeniden kullanılan altyapının altını çizdi.
Karmaşıklığa ek olarak, tehdit aktörleri, kritik Windows olay günlükleri-güvenlik, sistem ve PowerShell-on uzatılmış ana bilgisayarları izlerini gizlemek için aktif olarak temizledi.
Bununla birlikte, Windbg yoluyla analiz edilen süpertimelinler ve Windows Hata Raporlama (WER) kaza dökümlerindeki kullanıcı erişim günlüğü (UAL) girişleri, svchost.exe gibi işlemlerin bellek dökümlerinde yanal hareket ve kobalt grev aktivitesinin önemli kanıtlarını sağladı.
Gelişmiş adli teknikler gizli tehditleri ortaya çıkarır
Bu saldırıların derinliği, gelişmiş adli iş akışlarını gerektirdi, triyaj için velociraptor gibi otomatik araçları çarpışma dökümlerinin manuel analizi ve proses ortam bloğu (PEB) gibi bellek yapılarını harmanladı.
BStrings.exe kullanılarak çarpışma dökümlerinden çıkarılan dizeler, kobalt grev HTTP yanıtlarını ve takım sunucusu URL’lerini ortaya çıkarırken, Yara kuralları bellekte kötü niyetli ikili ikili dosyaları belirlemeye yardımcı oldu.
Çaplama nedeniyle eksik bellek dökümleri gibi zorluklara rağmen, şüpheli yürütülebilir ürünlerden şifrelenmiş konfigürasyonlara kadar birleşik göstergeler, azot tarafından ortaya çıkan kalıcı tehdidi onayladı.
Thor gibi araçlar, yaklaşan versiyonlarda (örneğin Thor V11) kobalt grev tespitini otomatikleştirmek için özelliklerle evrildiğinde, siber güvenlik topluluğu daha sofistike saldırılar için hazırlanır.
Kuruluşlar, kötü niyetli DLL yüklemesini izlemeye, anormal DLL yüklemesini izlemeye ve fidye yazılımı kampanyalarının güvenilir yazılım indirmelerini ve kobalt grevi gibi güçlü çerçevelerden yıkıcı etkisini azaltmak için adli artefaktları korumaya istenir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!