CACTUS Bilgisayar Korsanları Kurumsal Ağlara Saldırmak İçin Buglardan Yararlanıyor


CACTUS olarak bilinen tehdit aktörleri, iki şirkete aynı anda karmaşık bir saldırı düzenledi ve bir yazılım güvenlik açığının ifşa edilmesinden sonraki 24 saat içinde istismar etti.

Bu koordineli fidye yazılımı saldırısı, kuruluşların dijital ortamda artan risklerine dikkat çekti.

Saldırı, ağlara sızmak, uzaktan erişim araçlarını yerleştirmek, iş istasyonlarını şifrelemek ve farklı sunuculardaki sanallaştırma altyapısını hedeflemek gibi karmaşık adımları içeriyordu.

sanallaştırma altyapısı
sanallaştırma altyapısı

Güvenlik Açıklarının Hızla İstismarı

Saldırı, CVE-2023-38035 olarak tanımlanan ve CVSS puanı 9,8 olan Ivanti MobileIron Sentry'deki kritik bir güvenlik açığının ortaya çıkmasından 24 saatten kısa bir süre sonra başladı.

Bu kusur, saldırganların kimlik doğrulama kontrollerini atlamasına ve kodu uzaktan yürütmesine olanak tanıdı.

Bu güvenlik açığının hızlı bir şekilde silah haline getirilmesi, siber suçlular arasında yazılım hatalarından hızlı bir şekilde, genellikle kuruluşlar bunları düzeltmeden önce yararlanmaya yönelik artan bir eğilimin altını çiziyor.

fidye yazılımı grubu yalnızca Windows iş yüklerini hedef almıştı
fidye yazılımı grubu yalnızca Windows iş yüklerini hedef almıştı

CACTUS'un operasyonu sadece hızlı değil aynı zamanda titizlikle koordine edilmişti.

Bilgisayar korsanları başlangıçta bir kuruluşun ağına sızdıktan sonra aynı grup içindeki başka bir şirkete geçti.

Şirketlerin ayrı ağlarla bağımsız çalışmasına rağmen saldırganlar, bazı makinelerin birbirine bağlılığından yararlanarak her iki kuruluşa da eş zamanlı saldırılar başlatmayı başardı.

Saldırı, veri sızmasını ve etki alanı denetleyicileri de dahil olmak üzere iş istasyonlarının ve sanal makinelerin şifrelenmesini içeren çok yönlüydü.

Son zamanlarda Bitdefender Labs, ne yazık ki 2024 için yapılan iki önemli tahmini doğrulayan bir araştırmada işbirliği yaptı: fırsatçı fidye yazılımlarının hızla yayılması ve siber saldırıların artan karmaşıklığı.

Anahtar noktaları:

  • Hızlı cevap: CACTUS, Uzaktan Kod Yürütme (RCE) güvenlik açığından hızla yararlandı ve kuruluşların bu tür tehditleri derhal ele alma ihtiyacını vurguladı.
  • Titiz Koordinasyon: Saldırı, her iki şirkette beş dakikalık bir sürede senkronize eylemlerle titizlikle planlandı
  • Genişletilmiş Hedef Kapsamı: CACTUS, hedeflerini Windows iş yüklerinin ötesine taşıyarak ESXi ve Hyper-V ana bilgisayarlarını da kapsayacak şekilde genişleterek daha geniş bir odak noktası sergiledi
  • Adli Uzmanlık: Etkilenen şirketler fidyeyi ödemek yerine Bitdefender Laboratuvarlarından adli tıp uzmanlığı talep ederek siber tehditlerle mücadelede proaktif bir yaklaşım sergilediler

Genişleyen Hedefler ve Gelişmiş Taktikler

Geleneksel olarak Windows iş yüklerine odaklanan CACTUS, kapsamını ESXi ve Hyper-V ana bilgisayarlarını içerecek şekilde genişletti; bu da daha geniş bir hedefleme stratejisine işaret ediyor.

Grup, çeşitli uzaktan erişim araçlarını ve tünellerini kullanarak, ele geçirilen ağlarda kalıcılığın sürdürülmesinde yüksek düzeyde gelişmişlik sergiledi.

Bu operasyonun başarısı kısmen uzaktan erişim için AnyDesk gibi yasal araçların kullanılmasından ve güvenlik sunucularının daha sonraki saldırılar için ağ geçitleri olarak kullanılmasından kaynaklandı.

CACTUS fidye yazılımı saldırısı, gelişen tehdit ortamının ve kuruluşların tetikte kalma ihtiyacının çarpıcı bir hatırlatıcısıdır.

Bilinen güvenlik açıklarını derhal ele almanın kritikliğini ve güçlü siber güvenlik savunmaları kullanmanın faydalarını vurguluyor.

Siber suçlular taktiklerini geliştirmeye devam ederken, güvenlik profesyonellerinin işbirlikçi çabaları ve gelişmiş koruma teknolojilerinin benimsenmesi, bu tür karmaşık tehditlere karşı korunmada çok önemli olacaktır.

IOC'ler

İsim Tip Doğramak
C:\windows\{Kurban Kimliği}.exe Dosya 39fe99d2250954a0d5ed0e9ff9c41d81
C:\Windows\{Kurban Kimliği}.exe Dosya 0e4ee38fe320cfb573a30820198ff442
./{Kurban Kimliği} Dosya 8d2e4bef47e3f2ee0195926bbf4a25d5
C:\WINDOWS\so.bat Dosya f7a6d1e6e5436bd3c10f3a26f3e9b9b9
C:\WINDOWS\f2.bat Dosya fb467a07f44e8d58e93e3567fd7ff016
c:\kullanıcı\genel\syslog.txt Dosya be139fc480984eb31de025f25a191035
c:\kullanıcılar\genel\bk11.ps1 Dosya 08d2c800c93015092e14738c941ac492
02e4da16377fc85e71a8c8378b2a8a96
Psnmap.ps1 Dosya 8b37df9d295bbc2906961f72b7cdc5fb
Psnmap.ps1 Dosya 8af259ad55c3746926e992c82bc7e850
Psnmap.ps1 Dosya 55e42014424c0d120ff17f11e207e4f0
Psnmap.ps1 Dosya 5f7c3cda7759ef6e577552ad322c1f64
64.52.80.252 C2
162.33.177.56 C2
45.61.138.99 C2
206.188.196.20 C2
45.61.136.79 C2
45.61.136.127 C2
85.206.172.127 Saldırganın IP'si
192.227.190.11 Saldırganın IP'si
154.18.12.125 Saldırganın IP'si
Win64 Planli gorev
Win32 Planli gorev
pencereler Planli gorev
Güncelleme Planli gorev
Windows güncelleme Planli gorev
Microsoft Güncellemesi Planli gorev
GoogleGüncellemeGörevMakinesi Planli gorev

Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan





Source link