Tehdit aktörleri, makro ve ICedID kötü amaçlı yazılımları aracılığıyla sunulmasına rağmen Nokoyawa fidye yazılımını başlatmak için son derece istilacı HTML kaçakçılığı tekniklerini benimsiyor.
Nokoyawa Fidye Yazılımı çeşidi Şubat 2022’den beri aktif ve bilinen fidye yazılımı grupları Nemty ve Karma’nın benzerliğini paylaşıyor.
DFIR raporu, kampanyaya iki tehdit aktörünün dahil olduğunu belirtiyor: dağıtımcı ve uygulamalı klavye oyuncusu.
Microsoft onları Periwinkle Tempest tarafından yönetilen bir “kalem testi” ekibi olan Storm-030 ve Storm-0390 olarak izliyor.
HTML kaçakçılığı saldırıları, HTML dosyasının bazı kısımlarını gizlemek için genellikle varsayılan JavaScript ve HTML işlevlerini kullanır.
HTML Kaçakçılığı
Tehdit aktörü, kötü amaçlı HTML dosyasını hedefe ekleyerek yükü e-postalar aracılığıyla iletir.
Kullanıcı HTML dosyasını açtığında, ZIP dosyası kullanıcının makinesine indirilecek ve dosyayı açmak için şifre sorulacaktır.
Kötü amaçlı yazılım yükü ISO dosyasının içine yerleştirilmiş ve bir ZIP dosyasına eklenmiştir. Kullanıcının görebildiği tek dosya, belge kılığına giren bir LNK dosyasıydı.
Kullanıcı LNK dosyasına tıkladığında, kötü amaçlı yazılımı çalıştırmadan önce rundll32’yi ve kötü amaçlı bir DLL dosyasını ISO’dan ana bilgisayara kopyalamak için bir dizi komut yürütüldü.
Kalıcılık, kötü amaçlı DLL yürütüldüğünde sahildeki ana bilgisayardaki zamanlanmış bir görev aracılığıyla da oluşturuldu.
Bu görev, IcedID kötü amaçlı yazılımını ana bilgisayarda her saat başı çalıştıracak şekilde ayarlandı. İlk keşif komutları, komuta ve kontrol sunucusuna ulaşıldıktan saniyeler sonra çalıştırıldı.
Tehdit aktörü, Cobalt Strike işaretçisini kullanarak net yardımcı programını kullanarak belirli alan adı yöneticilerini aradı.
Tehdit aktörü, bu hesaplardan birini kullanarak yanal olarak bir etki alanı denetleyicisine geçmek için bir RDP oturumu başlattı.
Daha sonra, bir yedekleme sunucusu ve dosya paylaşımlı bir sunucu da dahil olmak üzere, RDP üzerinden ek ana bilgisayarlarda oturum açmak için SessionGopher’ı kullanırlar.
Son olarak, fidye yazılımını başlatmak için k.exe ve p.bat., fidye yazılımı ikili dosyasını ve toplu komut dosyalarını çalıştırırlar.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.