CACTUS olarak bilinen tehdit aktörleri, iki şirkete aynı anda karmaşık bir saldırı düzenledi ve bir yazılım güvenlik açığının ifşa edilmesinden sonraki 24 saat içinde istismar etti.
Bu koordineli fidye yazılımı saldırısı, kuruluşların dijital ortamda artan risklerine dikkat çekti.
Saldırı, ağlara sızmak, uzaktan erişim araçlarını yerleştirmek, iş istasyonlarını şifrelemek ve farklı sunuculardaki sanallaştırma altyapısını hedeflemek gibi karmaşık adımları içeriyordu.
Güvenlik Açıklarının Hızla İstismarı
Saldırı, CVE-2023-38035 olarak tanımlanan ve CVSS puanı 9,8 olan Ivanti MobileIron Sentry'deki kritik bir güvenlik açığının ortaya çıkmasından 24 saatten kısa bir süre sonra başladı.
Bu kusur, saldırganların kimlik doğrulama kontrollerini atlamasına ve kodu uzaktan yürütmesine olanak tanıdı.
Bu güvenlik açığının hızlı bir şekilde silah haline getirilmesi, siber suçlular arasında yazılım hatalarından hızlı bir şekilde, genellikle kuruluşlar bunları düzeltmeden önce yararlanmaya yönelik artan bir eğilimin altını çiziyor.
CACTUS'un operasyonu sadece hızlı değil aynı zamanda titizlikle koordine edilmişti.
Bilgisayar korsanları başlangıçta bir kuruluşun ağına sızdıktan sonra aynı grup içindeki başka bir şirkete geçti.
Şirketlerin ayrı ağlarla bağımsız çalışmasına rağmen saldırganlar, bazı makinelerin birbirine bağlılığından yararlanarak her iki kuruluşa da eş zamanlı saldırılar başlatmayı başardı.
Saldırı, veri sızmasını ve etki alanı denetleyicileri de dahil olmak üzere iş istasyonlarının ve sanal makinelerin şifrelenmesini içeren çok yönlüydü.
Son zamanlarda Bitdefender Labs, ne yazık ki 2024 için yapılan iki önemli tahmini doğrulayan bir araştırmada işbirliği yaptı: fırsatçı fidye yazılımlarının hızla yayılması ve siber saldırıların artan karmaşıklığı.
Anahtar noktaları:
- Hızlı cevap: CACTUS, Uzaktan Kod Yürütme (RCE) güvenlik açığından hızla yararlandı ve kuruluşların bu tür tehditleri derhal ele alma ihtiyacını vurguladı.
- Titiz Koordinasyon: Saldırı, her iki şirkette beş dakikalık bir sürede senkronize eylemlerle titizlikle planlandı
- Genişletilmiş Hedef Kapsamı: CACTUS, hedeflerini Windows iş yüklerinin ötesine taşıyarak ESXi ve Hyper-V ana bilgisayarlarını da kapsayacak şekilde genişleterek daha geniş bir odak noktası sergiledi
- Adli Uzmanlık: Etkilenen şirketler fidyeyi ödemek yerine Bitdefender Laboratuvarlarından adli tıp uzmanlığı talep ederek siber tehditlerle mücadelede proaktif bir yaklaşım sergilediler
Genişleyen Hedefler ve Gelişmiş Taktikler
Geleneksel olarak Windows iş yüklerine odaklanan CACTUS, kapsamını ESXi ve Hyper-V ana bilgisayarlarını içerecek şekilde genişletti; bu da daha geniş bir hedefleme stratejisine işaret ediyor.
Grup, çeşitli uzaktan erişim araçlarını ve tünellerini kullanarak, ele geçirilen ağlarda kalıcılığın sürdürülmesinde yüksek düzeyde gelişmişlik sergiledi.
Bu operasyonun başarısı kısmen uzaktan erişim için AnyDesk gibi yasal araçların kullanılmasından ve güvenlik sunucularının daha sonraki saldırılar için ağ geçitleri olarak kullanılmasından kaynaklandı.
CACTUS fidye yazılımı saldırısı, gelişen tehdit ortamının ve kuruluşların tetikte kalma ihtiyacının çarpıcı bir hatırlatıcısıdır.
Bilinen güvenlik açıklarını derhal ele almanın kritikliğini ve güçlü siber güvenlik savunmaları kullanmanın faydalarını vurguluyor.
Siber suçlular taktiklerini geliştirmeye devam ederken, güvenlik profesyonellerinin işbirlikçi çabaları ve gelişmiş koruma teknolojilerinin benimsenmesi, bu tür karmaşık tehditlere karşı korunmada çok önemli olacaktır.
IOC'ler
| İsim | Tip | Doğramak |
| C:\windows\{Kurban Kimliği}.exe | Dosya | 39fe99d2250954a0d5ed0e9ff9c41d81 |
| C:\Windows\{Kurban Kimliği}.exe | Dosya | 0e4ee38fe320cfb573a30820198ff442 |
| ./{Kurban Kimliği} | Dosya | 8d2e4bef47e3f2ee0195926bbf4a25d5 |
| C:\WINDOWS\so.bat | Dosya | f7a6d1e6e5436bd3c10f3a26f3e9b9b9 |
| C:\WINDOWS\f2.bat | Dosya | fb467a07f44e8d58e93e3567fd7ff016 |
| c:\kullanıcı\genel\syslog.txt | Dosya | be139fc480984eb31de025f25a191035 |
| c:\kullanıcılar\genel\bk11.ps1 | Dosya | 08d2c800c93015092e14738c941ac492 02e4da16377fc85e71a8c8378b2a8a96 |
| Psnmap.ps1 | Dosya | 8b37df9d295bbc2906961f72b7cdc5fb |
| Psnmap.ps1 | Dosya | 8af259ad55c3746926e992c82bc7e850 |
| Psnmap.ps1 | Dosya | 55e42014424c0d120ff17f11e207e4f0 |
| Psnmap.ps1 | Dosya | 5f7c3cda7759ef6e577552ad322c1f64 |
| 64.52.80.252 | C2 | |
| 162.33.177.56 | C2 | |
| 45.61.138.99 | C2 | |
| 206.188.196.20 | C2 | |
| 45.61.136.79 | C2 | |
| 45.61.136.127 | C2 | |
| 85.206.172.127 | Saldırganın IP'si | |
| 192.227.190.11 | Saldırganın IP'si | |
| 154.18.12.125 | Saldırganın IP'si | |
| Win64 | Planli gorev | |
| Win32 | Planli gorev | |
| pencereler | Planli gorev | |
| Güncelleme | Planli gorev | |
| Windows güncelleme | Planli gorev | |
| Microsoft Güncellemesi | Planli gorev | |
| GoogleGüncellemeGörevMakinesi | Planli gorev | |
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan