Huntress’teki siber güvenlik araştırmacıları, Cephalus olarak adlandırılan ve güçlü erişim kontrollerinden yoksun kuruluşları hedefleyen iki ayrı olayda konuşlandırılan yeni bir fidye yazılımı varyantı belirledi.
Kaçınılmaz trajediyi simgeleyen Yunan mitolojisinden adını iddia eden bu ortaya çıkan tehdit, maruz kalan uzak masaüstü protokolünü (RDP) uç noktalardan birincil başlangıç erişim vektörü olarak kullanır ve çok faktörlü kimlik doğrulama (MFA) olmadan uzlaşmış kimlik bilgilerini kullanır.
13 ve 16 Ağustos’ta gözlemlenen saldırılar, mega bulut depolama platformu aracılığıyla veri açığa çıkması ve algılamadan kaçınmak için benzersiz bir DLL yan yükleme mekanizması da dahil olmak üzere sofistike taktikleri içeriyordu.
Cephalus, bir .sss uzantısı ile dosyaları şifreler ve recover.txt adlı fidye notlarını düşürür, kurbanlara önceki ihlallerle ilgili söz konusu haber makalelerine bağlantı vererek baskılar.
Bu gelişme, yakın zamanda belgelenen Crux ve Kawalocker varyantları gibi fidye yazılımı ailelerinin daha geniş bir eğilimi ile uyumludur, bu da benzer şekilde ağlara sızmak için meşru araçları ve süreçleri kötüye kullanır.
Cephalus’un arkasındaki tehdit aktörleri, uç nokta tespiti ve yanıt (EDR) sistemleri müdahale etmeden önce aksamayı en üst düzeye çıkarmak için keşifleri hızlı bir şekilde birleştirerek hesaplanmış bir yaklaşım sergiler.
DLL Sideloading
Cephalus’un göze çarpan bir özelliği, meşru bir Sentinelone yürütülebilir dosyası olan SentinelBrowsernivativeHost.exe aracılığıyla dll ile yüklenen yenilikçi yürütme zinciridir.
Her iki olayda da, saldırganlar bu dosyayı tehlikeye atılan kullanıcının indirme klasörüne yerleştirdiler ve komut satırı argümanları olmadan başlattı ve ağ çapında bir dağıtım stratejisi yerine yerelleştirilmiş bir önerdi.
Daha sonra yürütülebilir, SentinelAgentCore.dll yükler, bu da bir data yükler.
Bu yöntem, güvenilir süreçler içinde kötü niyetli aktiviteyi etkili bir şekilde maskele ederek EDR araçları tarafından davranışsal analizi karmaşıklaştırır.
Şifrelemeden önce Cephalus, VSADMIN SELETE Gölgeleri /All /Sessiz ile başlayarak Sistem Kurtarma seçeneklerini sökmek için bir dizi gömülü komut yürütür.
C: \ Windows \ temp ve .cache, .tmp, .dat ve .sss gibi yollar için Windows Defender istisnaları eklemek için birden fazla PowerShell Invocation ile takip edilirken, aynı zamanda set-mppereference -disablerealTimemonitoring $ true ile gerçek zamanlı izlemeyi devre dışı bırakır.
Reg.exe kullanarak kayıt defteri değişiklikleri HKLM \ Software \ Policyes \ Microsoft \ Windows Defender \ Gerçek Zamanlı Koruma \ DisableAlTimemonitoring 1’e 1’e, antivirüs özelliklerini etkili bir şekilde etkisiz hale getirerek daha fazla sakat.
Windefend, WDNISSVC, SecurityHealthService ve Sense dahil olmak üzere hizmetler durdurulur ve ek PowerShell komutları aracılığıyla devre dışı başlangıç türlerine ayarlanır.
Bir olayda, Microsoft Defender yükü tespit etti ve karantinaya aldı ve tam şifrelemeyi önledi, ancak diğeri başarılı dosya kilitlemesine neden oldu.
Veri eksfiltrasyonu mega aracılığıyla belirgindi, megacmdupdater.exe gibi işlemler doğrudan veya planlanmış görevler olarak başlatıldı ve hassas dosyaları uzak depolara kopyaladı.
Genellikle fidye yazılımı aktivasyonundan önceki bu exfil fazı, çalınan verilerin müzakereler sırasında kaldıraçları güçlendirdiği ikili gasp modelinin altını çizer.
Tehdit manzarası için daha geniş etkiler
Cephalus fidye notları, kurbanın alanına doğrudan hitap etmek ve InsecureWeb ve Darkwebinformer gibi sitelerdeki makalelere bağlantıları yerleştirerek Temmuz ve Ağustos 2025’ten önceki veri ihlallerini ifade etmek gibi kişiselleştirilmiş unsurları dahil ederek jenerik şablonlardan sapmaktadır.
Bu notlar, aciliyet ve güvenilirlik aşılamayı amaçlayan, örnek doğrulama için şifrelerle birlikte veri hırsızlığı ve GoFile.io bağlantıları sağlar.
Tehdit aktörlerinin RDP kullanımı, özellikle MFA veya ağ segmentasyonu olmayan ortamlarda, uzaktan erişim konfigürasyonlarında kalıcı güvenlik açıklarını vurgular.
Blackbyte gibi kurulmuş fidye yazılımı (RAAS) gruplarına doğrudan bağlılık onaylanmamış olsa da, taktikler, Svchost.exe ve Bcdedit.exe gibi meşru ikili dosyaların kötüye kullanılması da dahil olmak üzere, en önemli olaylarda olanları yansıtır.
Sentinelone veya benzer EDR çözümlerini çalıştıran kuruluşlar, kullanıcı indirme klasörleri gibi standart olmayan yollarda anormal yürütmeleri izlemeli ve RDP maruziyetlerinin düzenli denetimlerini yapmalıdır.
Fidye yazılımı AI güdümlü kaçırma ve bulut tabanlı eksfiltrasyon ile geliştikçe, en az müstehcen erişim, davranışsal izleme ve zamanında yama gibi proaktif önlemler bu tehditleri azaltmak için kritik öneme sahiptir.
Huntress’in analizi, şifreleme öncesi göstergeleri tanımlamada tehdit avının değerini vurgular ve potansiyel olarak tam ölçekli olayları önler.
Uzlaşma Göstergesi (IOCS)
| Gösterge | Tanım | SHA256 (varsa) |
|---|---|---|
| Masaüstü-uabs01 | Tehdit Oyuncu İş İstasyonu | N/A |
| .SSS | Şifrelenmiş dosya uzantısı | N/A |
| recover.txt | Fidye notu dosya adı | N/A |
| SentinelBrowsernativeHost.exe | DLL Sideloading için Kullanılan SentinelOne Yürütülebilir Kalabası | 0d9dfc113712054d8595b50975ef9c68f4cb8960eca010076b46d2fba3d2754 |
| Sentinelagentcore.dll | Dll Fidye Yazılımını Başlatmak İçin Yüklendi | 82F5FB086D15A8079C79275C2D4A6152934E2D61CC6A4976B492F740627773A7 |
| data.bin | Fidye yazılımı kodu içeren dosya | N/A |
| C: \ users $$ user]\ İndirmeler | Tehdit Oyuncu Operasyonları Klasörü | N/A |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!