Trigona fidye yazılımı tehdit aktörünün, MS-SQL sunucularını hedef alan Mimic kötü amaçlı yazılımını yüklemek gibi yeni faaliyetlerde bulunduğu gözlemlendi.
Kötü amaçlı yazılım yükleme işlemi sırasında MS-SQL sunucularının Toplu Kopyalama Programı (BCP) özelliği kötüye kullanılıyor. BCP yardımcı programı bcp.exe, MS-SQL sunucularına büyük miktarda harici veriyi içe veya dışa aktarmak için kullanılan bir komut satırı aracıdır.
Trigona fidye yazılımı hala hayatta, MS-SQL sunucularını hedefliyor ve en az Haziran 2022’den beri aktif. İlk olarak Haziran 2022’de keşfedilen taklit fidye yazılımı, İngilizce ve Rusça konuşan kişileri hedef almak için tasarlandı.
Son zamanlarda, Trigona fidye yazılımı tehdit aktörü, bakımı yetersiz MS-SQL sunucularına Mimic ve Trigona fidye yazılımı türlerini bulaştırıyor.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Saldırganlar MS-SQL Sunucularını Ele Geçiriyor
Şifrelenecek dosyaları ararken fidye yazılımını taklit eden Her Şey adlı dosya arama aracını kötüye kullandığı biliniyor. Tehdit aktörünün, hedef sistemin dosya şifrelemesini hızlandırmak için Her Şey aracını kullandığına inanılıyor.
Ayrıca saldırgan, programın geliştirilmesi sırasında kaynak kodu sızdırılan Conti fidye yazılımının birkaç yönünü taklit etti.
AhnLab Güvenlik İstihbarat Merkezi (ASEC) raporuna göre, bu saldırıda da hemen hemen aynı dış yapı kullanılmış ve Mimic fidye yazılımı örnekleri Ocak 2023 tarihli Trend Micro raporunda ve Ocak 2024 tarihli Securonix raporunda bulunmuştur.
ASEC, Cyber Security News ile şunları paylaştı: “Sonuçta yüklenen klasör yalnızca Mimic fidye yazılımını ve Her Şey aracını içermiyor, aynı zamanda Windows Defender’ı devre dışı bırakmak için Defender Kontrol aracını (DC.exe) ve Sysinternals’ın SDelete aracını (xdel.exe) da içeriyor.” .
Fidye notundaki tehdit aktörünün e-posta adresi, Mimic fidye yazılımının önceki örneklerinden farklıdır ve diğer saldırı senaryolarında da yoktur.
Tehdit aktörü, ortama uygun kötü amaçlı yazılım türlerini yüklemek için aşağıdaki komutlardan elde edilen bilgileri kullanacaktır.
Tehdit aktörü, ele geçirilen sistemin kontrolünü ele geçirmek için AnyDesk’i kurdu. Ayrıca saldırganın, ele geçirilen sisteme RDP yoluyla bağlanmaya ve bağlantı noktası yönlendirme için tasarlanmış bir kötü amaçlı yazılım türü kullanarak sistemin kontrolünü uzaktan ele geçirmeye çalıştığı da keşfedildi.
Araştırmacılar, “Sistem önyükleme seçeneğini güvenli moda ayarlayan herhangi bir kötü amaçlı yazılım veya komut günlüğü bulunmamasına rağmen, sistemi yeniden başlatma komutunu yürüten MS-SQL sunucusu işleminin günlükleri tanımlandı” dedi.
Öneri
Kaba kuvvet ve sözlük saldırıları, hesap kimlik bilgilerinin düzgün şekilde yönetilmediği sistemlerdeki MS-SQL sunucularını hedeflemenin yaygın yollarındandır. Yöneticilerin karmaşık şifreler kullanması ve bunları düzenli olarak güncellemesi gerekir.
Kötü amaçlı yazılım bulaşmasını önceden önlemek için V3’ü en son sürüme güncellemek de gereklidir. Yöneticiler ayrıca harici tehdit aktörlerinin veritabanı sunucularına erişmesini önlemek için güvenlik duvarları gibi güvenlik araçlarını da kullanmalıdır.