Tehdit aktörleri, 15 gün boyunca tehlikeye atılmış bir ağa erişimi sürdürdükten sonra BlackSuit fidye yazılımını başarıyla dağıttı. Aralık 2023’te başlayan saldırı, modern siber suçluların sabrını ve metodik yaklaşımını sergiliyor.
Saldırı, uzaktan erişim ve istismar sonrası faaliyetlerdeki çok yönlülüğü nedeniyle bilgisayar korsanları arasında popüler bir araç olan Cobalt Strike beacon’ın yürütülmesiyle başladı. Başlangıçta, tehdit aktörleri Windows yardımcı programlarını kullanarak keşfe odaklandı. sistem bilgisi Ve nltest Tehlikeye maruz kalan sistem ve çevresi hakkında bilgi toplamak.
Saldırı ilerledikçe saldırganlar ağ içindeki yerlerini genişletmek için çeşitli karmaşık teknikler kullandılar. Rubeus ve Sharphound gibi araçları kullanarak kimlik bilgilerini toplamak ve ağ yapısını haritalamak için etki alanı denetleyicilerine karşı AS-REP Roasting ve Kerberoasting saldırıları gerçekleştirdiler.
Tehdit aktörleri, ağ içinde yanal olarak hareket etme, ek iş istasyonlarını ve sunucuları tehlikeye atma yeteneklerini gösterdiler. Altyapı genelinde sürekli erişimi sürdürmek için birden fazla Cobalt Strike işareti ve Uzak Masaüstü Protokolü (RDP) bağlantısı kullandılar.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Dikkat çekici bir gelişmede, DFIR araştırmacıları saldırganların fidye yazılımı grupları tarafından proxy bağlantıları kurmak için sıklıkla kullanılan bir araç olan SystemBC’yi dağıttıklarını gözlemledi. Bu, onların yerel ağa harici bilgisayarlardan erişmelerine olanak tanıyarak kötü amaçlı faaliyetlerini daha da kolaylaştırdı.
Saldırı boyunca tehdit aktörleri, Cobalt Strike sunucularını gizlemek için komuta ve kontrol trafiğini CloudFlare üzerinden yönlendirmek de dahil olmak üzere çeşitli kaçınma teknikleri kullandılar. Ayrıca meşru süreçler içinde gizlenmek için süreç enjeksiyonunu kullandılar ve bu da tespiti daha zor hale getirdi.
İki haftalık dikkatli hazırlıktan sonra saldırganlar son yüklerini başlattılar. qwe.exe adlı BlackSuit fidye yazılımı yürütülebilir dosyasını SMB paylaşımlarını kullanarak önemli uç noktalara dağıttılar. Doğru yürütmeyi sağlamak için, kritik şifreleme aşamasında hata riskini en aza indiren kesin komut satırı argümanları içeren bir metin dosyası eklediler.
BlackSuit Fidye Yazılımı Saldırı Zaman Çizelgesi:
İlk Erişim (Aralık 2023):
Saldırının başlangıcını işaret eden bir Cobalt Strike işaret fişeği atıldı.
Erken Keşif (1. Gün):
Tehdit aktörü, sistem numaralandırması için Windows yardımcı programlarını kullandı ve etki alanı denetleyicilerine karşı AS-REP Kızartma ve Kerberoasting saldırıları gerçekleştirdi.
Yanal Hareket (2. Gün):
Çoklu Cobalt Strike beacon’ları iş istasyonlarına ve sunuculara konuşlandırıldı. Daha fazla yanal hareket için RDP kullanıldı.
Komuta ve Kontrol Vardiyası (7. Gün):
Cobalt Strike komuta ve kontrol alanı CloudFlare’den Amazon AWS IP adresine geçti.
Daha Fazla Sızma (8-13. Günler):
Daha fazla Cobalt Strike beacon’ı, RDP oturum açma bilgileri ve ek keşif faaliyetleriyle birlikte dağıtıldı.
Son Aşama ve Fidye Yazılımı Dağıtımı (15. Gün):
Tehdit aktörü ADFind ve bir PowerShell betiğini çalıştırdı. BlackSuit fidye yazılımı (qwe.exe) SMB aracılığıyla uzak sistemlere dağıtıldı ve RDP bağlantıları aracılığıyla manuel olarak çalıştırıldı.
Fidye Yazılımına (TTR) kadar geçen toplam süre yaklaşık 328 saat, ilk erişimden son fidye yazılımı dağıtımına kadar geçen süre ise 15 takvim günüdür.
BlackSuit fidye yazılımının son zamanlardaki dikkat çeken saldırısı, otomotiv bilişim firması CDK Global tarafından gerçekleştirildi. Saldırıyı gerçekleştirenler, isimsiz bir kaynaktan alınan bilgiye göre “on milyonlarca dolar fidye talep ettiler”.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial