Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Operatörler Kurumsal Ağlara Erişmek İçin Veri Analitiği Platformundaki Kusurlardan Yararlanıyor
Sayın Mihir (MihirBagwe) •
1 Aralık 2023
Cactus adlı yeni bir fidye yazılımı türünün operatörleri, kurumsal ağlara erişim sağlamak için veri analitiği platformundaki kritik güvenlik açıklarını kullanıyor. Cactus fidye yazılımı operatörleri aynı zamanda kötü amaçlı reklam yoluyla dağıtılan Danabot kötü amaçlı yazılımını dağıtmaktan da yardım alıyor.
Ayrıca bakınız: M-Trendler 2023 Raporu
Cactus fidye yazılımı ilk olarak Mart ayında ortaya çıktı ve verileri çalmak ve şifrelemek olmak üzere çifte gasp taktiğini benimsedi. Son birkaç ayda operasyonlarını gözle görülür biçimde artırdı ve bu sonbaharda fidye yazılımı etkinliklerinde artışa katılarak rekor düzeyde fidye yazılımı saldırıları gerçekleştirdi. İngiltere merkezli siber güvenlik firması NCC Group Ekim ayında yaptığı açıklamada, Cactus’un Eylül ayında 33 kurbanı listelediğini söyledi (bkz: Bilinen Fidye Yazılımı Saldırı Hacmi Yine Aylık Rekor Kırdı).
Siber güvenlik firması Arctic Wolf’un veri analitiği platformu Qlik Sense’i etkilediğini söylediği Cactus’un kampanyası, ilk olarak araştırmacılar tarafından Ağustos ayında tespit edilen güvenlik açıklarını kullanıyor. CVE-2023-41266 olarak tanımlanan bir güvenlik açığı, anonim oturumlar oluşturmak ve yetkisiz HTTP isteklerini yürütmek için kullanılabilecek bir yol geçiş hatasıdır. Başka bir kusur olan CVE-2023-41265’in kritik önem derecesi CVSS derecesi 9,8’dir. Kimlik doğrulama gerektirmez ve uygulamayı barındıran arka uç sunucuda ayrıcalık yükseltmeye ve HTTP isteklerinin yürütülmesine izin verir.
Eylül ayında Qlik, bilgisayar korsanlarının CVE-2023-41265 düzeltmesini atlayıp CVE-2023-48365 olarak tanımlanan ayrı bir güvenlik açığı için yeni bir güncellemeye yol açabileceğini keşfetti.
Arctic Wolf, Cactus fidye yazılımı operatörlerinin Qlik Sense Scheduler Service’te yeni süreçler başlatmak için bu güvenlik açıklarından yararlandığını söyledi. Saldırganlar kalıcılık sağlamak, uzaktan erişim elde etmek ve verileri sızdırmak için AnyDesk ve Rclone gibi yasal araçları indiriyor. Bu kampanyada tehdit aktörleri tarafından kullanılan araçlar ve teknikler, siber güvenlik firması Kroll tarafından Mayıs ayının başlarında açıklanan önceki Cactus fidye yazılımı olaylarında gözlemlenenlerle uyumludur.
Danabot, Kaktüs’e İlk Erişimi Devrediyor
Cuma günü Microsoft Tehdit İstihbaratı söz konusu bir tweet dizisinde, kötü amaçlı reklamcılık yoluyla Danabot enfeksiyonlarını tespit ettiğini ve bu durumun Cactus fidye yazılımı enfeksiyonlarına yol açan klavyede uygulamalı aktiviteye yol açtığını söyledi.
Microsoft, Danabot’u Storm-0216 olarak takip ediyor ve aynı zamanda Twisted Spider ve UNC2198 olarak da biliniyor.
Microsoft, “Storm-0216, tarihsel olarak Qakbot operatörlerinden devredilmiştir ancak o zamandan beri, muhtemelen Qakbot altyapısının devre dışı bırakılmasının bir sonucu olarak, ilk erişim için farklı kötü amaçlı yazılımlardan yararlanmaya yönelmiştir” dedi (bkz: ‘Ördek Avı’ Operasyonu Qakbot’u Parçaladı).
Araştırmacılar bu Danabot kampanyasını ilk olarak Kasım ayında gözlemlediler. Microsoft, kötü amaçlı yazılımın, komuta ve kontrole gönderdiği kullanıcı kimlik bilgilerini ve diğer bilgileri topladığını, ardından “RDP oturum açma girişimleri yoluyla yanal hareketle sonuçlandığını ve sonunda Storm-0216’ya geçişe yol açtığını” söyledi.
Storm-0216 daha önce Twisted Spider, Viking Spider ve LockBit fidye yazılımı operatörlerinin ortak bir iş anlaşmasına girmesiyle oluşturulan Maze Karteli ile bağlantılıydı. Grup ayrıca daha önceki saldırılarında Maze veya Egregor fidye yazılımını da kullanmıştı.