BianLian Fidye Yazılımı İlk Erişimi Elde Etmek İçin RDP Kimlik Bilgilerini Kullanıyor

   Temmuz 15, 2024  Posted in CyberSecurityNews


BianLian Fidye Yazılımı İlk Erişimi Elde Etmek İçin RDP Kimlik Bilgilerini Kullanıyor

BianLian, 2022 yılında ortaya çıktı ve hızla ortaya çıkmasının ardından en aktif üç fidye yazılımı grubundan biri haline geldi.

Operasyonlarına RDP, ProxyShell ve SonicWall VPN açıklarını kullanarak başladılar.

DÖRT

Juniper’daki siber güvenlik araştırmacıları, bu fidye yazılımı grubunun operatörlerinin, ilk erişimi özelleştirilmiş Go kötü amaçlı yazılımları ve arazi dışı teknikler kullanarak gerçekleştirdiğini doğruladı.

Avast’ın 2023’ün başlarında bir şifre çözücü yayınlamasının ardından bu durum şifreleme veya çift gasptan, basitçe çalma ve gasp etmeye dönüştü.

BianLian Fidye Yazılımı RDP Kimlik Bilgilerini Kullanıyor

Mayıs 2023’e gelindiğinde, mağdurların paylaşımları, savunma sistemlerinin iyileşmesi ve kolluk kuvvetlerinin dikkati nedeniyle düşüşe geçmeden önce zirveye ulaşmıştı.

Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files

Ancak 2024’ün başlarında doksanın üzerinde yeni kurbanla yeniden canlanma yaşandı ve bu durum BianLian’ın fidye yazılımı alanındaki dayanıklılığını ve uyum yeteneğini gösterdi.

BianLian’ın 2024 stratejisi, bu tür verilere karşı hassas olmaları nedeniyle hukuk hizmetleri (%23,7) ve sağlık hizmetlerinin ön planda olduğu yüksek değerli sektörleri seçmeye dayanıyordu.

2024 yılında Bianlian mağdurlarının sektörel dikey dağılımı (Kaynak – Juniper)

Ocak ayının ortasında BianLian, C2 altyapısına dahil olan tehdit aktörlerinin sayısında keskin bir artış yaşadı; şirketler yirmi dört saat içinde on beşten fazla yeni sunucu dağıttı.

C2 altyapı faaliyetlerindeki bu eğilim, kurban gönderilerindeki artışla aynı zamana denk geldi; bu durum, hacker’ların TeamCity sunucularını hacklemesi ve ardından grubun PowerShell tabanlı bir arka kapı araç takımı geliştirmesiyle aynı zamana denk geldi.

Bu operatörün fidye yazılımı kampanyaları, farklı sektörlerdeki kurbanlara uyum sağlama yeteneğini ve altyapı genişletmenin stratejik zamanlamasını öne çıkardı.

BianLian’ın 2023-2024’teki C2 altyapısı stratejik çeşitliliği ortaya koyuyor. Çoğunlukla, HTTPS trafiği için 443 portu (%18,59) ve 8443 portu (%9,94) kullanıyorlar, ardından tespit edilmekten kaçınmak için farklı diğer portları uygulayan %46,47 geliyor.

2024 yılında Bianlian mağdurlarının sektörel dikey dağılımı (Kaynak – Juniper)

Ocak ayının ortasında BianLian, C2 altyapısına dahil olan tehdit aktörlerinin sayısında keskin bir artış yaşadı; şirketler yirmi dört saat içinde on beşten fazla yeni sunucu dağıttı.

C2 altyapı faaliyetlerindeki bu eğilim, kurban gönderilerindeki artışla aynı zamana denk geldi; bu durum, hacker’ların TeamCity sunucularını hacklemesi ve ardından grubun PowerShell tabanlı bir arka kapı araç takımı geliştirmesiyle aynı zamana denk geldi.

Bu operatörün fidye yazılımı kampanyaları, farklı sektörlerdeki kurbanlara uyum sağlama yeteneğini ve altyapı genişletmenin stratejik zamanlamasını öne çıkardı.

BianLian’ın 2023-2024’teki C2 altyapısı stratejik çeşitliliği ortaya koyuyor. Çoğunlukla, HTTPS trafiği için 443 portu (%18,59) ve 8443 portu (%9,94) kullanıyorlar, ardından tespit edilmekten kaçınmak için farklı diğer portları uygulayan %46,47 geliyor.

Go backdoor’un 2024 ve 2023 versiyonlarının Bindiff’i, günlükleme rutinindeki değişiklikleri gösteriyor (Kaynak – Juniper)

Mimux ve soso modüllerini kullanan Go tabanlı arka kapı, sabit kodlanmış bir c2 adresine sahip bir yükleyici olarak çalışır. Son sürümler, daha esnek günlük kaydı için 2024’te log.Print’ten bir Logger işlevine geçti.

BianLian’ın Go arka kapısı tarafından kullanılan Golang kütüphaneleri (Kaynak – Juniper)

Bu altyapı tasarımı, BianLian’ın yasal trafikle birleşme, barındırmayı çeşitlendirme ve kötü amaçlı yazılımlarını güçlendirerek uzun süreli yönetilebilir saldırı durumlarında kullanılabilme çabasını göstermektedir.

Bunun yanı sıra BianLian’ın farklı işletim sistemlerine saldırı düzenlemek için kullandığı Go tabanlı araçların bir parçası olan Linux varyantı da keşfedildi.

Grup, yüksek değerli hedefleri destekleyen mühendislik, sağlık ve hukuk hizmetlerine odaklanıyor.

Şifrelemeden saf veri hırsızlığına ve gaspına geçerek evrimleşmeye devam ettiler. Hatta gelişmiş günlükleme işlevlerine sahip yeni arka kapı sürümleri bile oluşturuyorlar.

Bu büyüme ve aynı zamanda altyapısal yapılanmalarının stratejik olarak çeşitlendirilmesi, bu gelişmiş tehdit aktörüne karşı sürekli teyakkuz ve platformlar arası savunmayı destekliyor.

IoC’ler

  • 3b309c076c26f27f42dbab8c89f05df51c414e87529251dc2d9946e7bc694f29
  • 72d91293ff1a91587af3997081f65eac819d2ff73655837dc68a447d371ca2f1
  • f9421165e4a62c7a1941b7b3fa73ac6f2149e7ffab3a6a622406baabf1933a2e
  • 834ab96263cca7b01b3ae6549a9811b56204e714402215ce37fb602732b981d1
  • B12be86af46b0267d86fcacef0a58bad0d157a7a044f89a453082b32503bd3c0
  • ec2-13-215-228-73[.]ap-güneydoğu-1[.]hesaplamak[.]amazonaw’lar[.]com
  • 104[.]238[.]61[.]20
  • 45[.]56[.]165[.]131
  • 146[.]59[.]102[.]74
  • 45[.]56[.]165[.]131

“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo



Source link