2022 yılının ortalarında Mandiant’s Managed Defense, BASTA fidye yazılımının birincil kullanıcısı olan UNC4393’ü ilk kez ortaya çıkardı.
Bu finansal olarak motive edilmiş tehdit kümesi 40’tan fazla işletme kuruluşuna ve 20 dikey endüstriye saldırdı. Son zamanlarda sağlık şirketlerine odaklandı.
QAKBOT botnet enfeksiyonları genellikle UNC4393 tarafından ilk erişimi elde etmek için kullanılır ve dağıtım esas olarak kimlik avı e-postaları ve HTML kaçakçılığı teknikleriyle yapılır.
Google Cloud’daki siber güvenlik araştırmacıları yakın zamanda BASTA fidye yazılımının arkasındaki UNC4393 aktörlerinin ortaklıklar aracılığıyla istismar edildiğini keşfetti.
BASTA Fidye Yazılımının Arkasında UNC4393
BASTA, iştirakleri işe almak yerine, hizmetlerini fidye yazılımı hizmeti olarak satmak yerine, yeraltı ortaklıklarına erişim sağlamak amacıyla özel veya küçük kapalı davet sistemleri üzerinde çalışmaktadır.
Grup, fidye elde etme konusunda diğer oyunculardan yaklaşık 42 saat daha fazla zaman aldığı için daha etkili bir şekilde hareket ediyor.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
QAKBOT botnetinin çökertilmesinin ardından UNC4393, elindeki hazır araçları değiştirmek için özel olarak hazırlanmış kötü amaçlı yazılımlar ve farklı ilk erişim yöntemleri kullanmaya başladı.
Fidye yazılımıyla ilişkilendirilen bilgi sızıntısı sitesi, beş yüzden fazla kurbanın ortaya çıkmasına rağmen yazılımın yalnızca bir aktör tarafından kullanıldığını iddia ediyor; bu da muhtemelen daha geniş bir amaç taşıdığı veya diğer denetlenmiş aktörlerin de şifreleyiciyi birlikte kullandığı anlamına geliyor.
2022 yılında dünya BASTA fidye yazılımıyla karşı karşıya kaldı; Mandiant bu konuda UNC4393 ve UNC3973 olmak üzere iki ana kümeyi takip etti.
Başlangıçta bu tatbikata katılan başlıca aktör, erişim sağlamak için kimlik avı yoluyla QAKBOT enfeksiyonlarını kullanmaya başlayan UNC4393’tü.
2023’ün sonlarında, SILENTNIGHT saldırılarına geçmeden önce DARKGATE’i kısa bir süre kullandılar. SILENTNIGHT, HTTP/HTTPS üzerinden iletişim kuran bir C/C++ arka kapısıdır ve C2 için ayrıca bir alan adı oluşturma algoritması (DGA) kullanır.
UNC4393’ün operasyonları arasında araziden yararlanma teknikleri, benzersiz alan adlandırma kurallarına sahip DNS BEACON gibi özel kötü amaçlı yazılımlar ve 2024’ün başlarında fark edilen yeni bir enfeksiyon zinciri yer alıyor.
Bu zincirin bazı üyeleri arasında DAWNCRY (sadece bellek damlatıcısı), DAVESHELL ve PORTYARD (C2 iletişimi için tünelleyici) yer alır.
Bir süre hareketsiz kaldıktan sonra 2023’ün sonlarında, esas olarak kötü amaçlı reklamlar aracılığıyla geri döndüğünde yeniden canlandı.
Bu, UNC4393 için ağ keşfi olarak kullanılır ve BLOODHOUND, ADFIND, PSNMAP, COGSCAN gibi açık kaynaklı araçlar kullanır; bazen C:\Users\Public veya C:\Windows’da tutulur.
Yan yana hareket için, uzaktan yürütme için sıklıkla kullanılan SMB BEACON ve WMI ile RDP’yi tercih ediyorlar.
Kalıcılık yöntemleri çeşitli RMM yazılımlarından (ANYDESK, ATERA) 2022 sonlarında SYSTEMBC tünellerine ve 2024 başlarında PORTYARD’a kadar uzanıyor. Veri sızdırma işlemi gizli RCLONE ikili dosyalarıyla yapılıyor.
Drive-by saldırıları, manuel tekniklerden, sembolik bağlantılar oluşturan ve dolayısıyla şifreleme sürecini hızlandıran BASTA fidye yazılımını çalıştıran KNOTROCK özel .NET aracının kullanımına doğru evrildi.
Özellikle, UNC4393’ün ilk veri kümesinin şifrelenmesi başarısız olduktan sonra bir işlemi sonlandırdığı zamanlar vardır; bu muhtemelen birden fazla eş zamanlı hedef nedeniyle olabilir, ancak daha sonra aylar sonra kurbanlarını yeniden hedef alabilir.
Bu esnek yaklaşım, değişen taktiklerini ve operasyonel önceliklerini vurgular. UNC4393, QAKBOT enfeksiyonlarından erişim aracılarıyla ortaklık kurmaya kadar taktiklerini uyarlayan gelişen bir siber suç aktörüdür.
Mağdur sayısında son dönemde bir düşüş yaşansa da, veri sızdırma, kişiselleştirilmiş kötü amaçlı yazılım oluşturma ve çok yönlü şantaj gibi konulara odaklanması nedeniyle önemli bir tehdit olmaya devam ediyor.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access