Rusya ve Belarus’u hedef alan bir hacktivist grup olan Head Mare, ilk erişim için CVE-2023-38831’i istismar etmek amacıyla WinRAR arşivlerini dağıtan kimlik avı kampanyalarından yararlanıyor.
LockBit ve Babuk fidye yazılımlarını kullanarak kurbanlarının sistemlerini şifreliyor ve çalınan verileri kamuoyuna ifşa ediyorlar.
Grup, taktikleri bakımından diğer Rus karşıtı hacktivistlerle benzerlikler taşıyor ancak daha gelişmiş erişim yöntemleri kullanıyor; PhantomDL kötü amaçlı yazılım faaliyetleriyle bağlantılı operasyonları, Rus örgütleri için gelişen tehdit ortamının altını çiziyor.
Rus örgütlerini hedef alan bir hacktivist grup, saldırılarında çoğunlukla LockBit, Babuk ve Mimikatz gibi kamuya açık araçları kullanıyor.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Birincil enfeksiyon vektörleri, WinRAR CVE-2023-38831 güvenlik açığını istismar eden özel kötü amaçlı yazılımlar PhantomDL ve PhantomCore içeren kötü amaçlı arşivleri dağıtan kimlik avı kampanyalarını içerir.
Bu kötü amaçlı yazılım çeşitleri çalıştırıldığında, komuta ve kontrol kanalları oluşturur, sistem bilgilerini toplar ve kayıt defteri değişiklikleri ve zamanlanmış görevler aracılığıyla yetkisiz erişimi sürdürmek için kalıcılık mekanizmaları uygular.
Head Mare, kötü amaçlı yazılımları OneDrive ve VLC gibi meşru yazılımlar gibi gizleyerek ve sistem ortamlarına uyum sağlamak için ortak dosya adları ve konumları kullanarak karmaşık kaçınma taktikleri kullanıyor.
Gizli komuta ve kontrolü, tehlikeye atılmış sistemler üzerinde sürdürmek için birincil C2 çerçevesi olarak Sliver’ı ve Garble karartmasını kullanıyorlar.
Altyapıları, ayrıcalık yükseltme için PowerShell betikleri, uzaktan etkileşim için Meterpreter ve komut yürütme için PHP kabukları gibi çeşitli araçları barındıran VPS sunucularını içeriyor ve bu da çok yönlü ve uyarlanabilir bir saldırı araç takımı sergiliyor.
Saldırganlar, tehlikeye atılmış ağlar içerisinde yatay hareket kabiliyetini sağlayan gizli tüneller kurmak için rsockstun ve ngrok’u kullanırlar.
Güvenlik açıklarından yararlanarak ilk erişimi elde ederler, cmd, arp ve PowerShell gibi araçları kullanarak sistem bilgilerini ve kimlik bilgilerini toplarlar.
Kimlik bilgisi toplama için Mimikatz ve XenAllPasswordPro kullanılır.
Sonuç olarak, LockBit ve özel bir Babuk varyantı gibi fidye yazılımları hassas verileri şifrelemek ve operasyonları aksatmak için kullanılıyor; ikincisi özellikle ESXi ortamlarını hedef alıyor ve gelişmiş şifreleme teknikleri kullanıyor.
Head Mare saldırıları, halka açık LockBit fidye yazılımı geliştiricilerini kullanarak, kötü amaçlı yazılımı çeşitli kılıklarda dağıttı.
Saldırganlar, başlangıçta sınırlı dosya ve boş alan silme özelliklerine sahip LockbitLite’ı kullanarak iki aşamalı bir şifreleme süreci uyguladılar, ardından daha yıkıcı bir LockbitHard çeşidi kullanıldı.
Her iki sürüm de dosya adlarını şifrelemek ve boş alanı silmek üzere yapılandırılmıştı, ancak LockbitHard daha geniş dosya silme izinlerine sahipti.
Fidye yazılımı genellikle bir kullanıcının masaüstüne veya ProgramData dizinlerine kuruluyordu ve farklı fidye notları üretiliyordu.
Kaspersky Threat Intelligence, Head Mare zararlı yazılımının yalnızca Rusya ve Belarus’ta bulunduğunu tespit etti.
Benzerlik analizi, Baş Kısrak örnekleri ile aynı bölgeyi hedef alan diğer gruplardan alınan örnekler arasında bağlantı olduğunu ortaya koydu ve ortak taktikler olduğunu gösterdi.
Head Mare, CVE-2023-38831 açığıyla birlikte PhantomDL ve PhantomCore gibi özel kötü amaçlı yazılımları benzersiz bir şekilde kullanıyor ve bu da onu diğer bölgesel tehdit aktörlerinden farklılaştırıyor; bu da Rus ve Belaruslu kuruluşlar arasında daha fazla dikkatli olma gerekliliğinin altını çiziyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access