WithSecure’daki tehdit araştırmacıları, Çinli siber suçlular tarafından geliştirildiği bilinen bir aracın Rusça konuşan fidye yazılımı operatörleri tarafından coşkuyla benimsendiğini bulduktan sonra, siber suç çetelerinin Avrasya’nın tarihi İpek Yolları boyunca araçları nasıl paylaştığına dair istihbarat ortaya çıkardı.
Araştırma ekibi tarafından Silkloader olarak izlenen araç, dinamik bağlantı kitaplığı (DLL) yan yüklemesinden yararlanan ve açık kaynaklı Cobalt Strike komut ve kontrolünü (C2) yüklemek ve başlatmak için yasal VLC Media Player’ı kullanan bir işaret yükleyicidir. kurbanlarının sistemlerine – çoğu siber suç cephaneliğinde güvenilir bir temel -.
Cobalt Strike işaretlerini gizlemek için özel olarak yapılmış gibi görünüyor. Araştırma üzerinde meslektaşları Bert Steppé ve Neeraj Singh ile birlikte çalışan WithSecure araştırmacısı Mohammad Kazem Hassan Najad’ın açıkladığı gibi, bu, yapılabilecek faydalı bir şey.
“Cobalt Strike işaretleri çok iyi biliniyor ve iyi korunan bir makinede onlara karşı tespitler neredeyse garanti ediliyor” dedi. “Ancak, saldırganlar dosya içeriğine ek karmaşıklık katmanları ekleyerek ve onu VLC Media Player gibi bilinen bir uygulama aracılığıyla yandan yükleme yoluyla başlatarak, bu savunma mekanizmalarından kurtulmayı umuyor.”
Ekip, ilk olarak geçen yıl, özellikle Çin ve Hong Kong olmak üzere Doğu Asya’daki hedeflere karşı finansal olarak motive olmuş Çinli aktörler tarafından konuşlandırıldığında kullanıldığını gözlemledi. Ancak, bu siber suç faaliyeti kampanyası azaldı ve Temmuz 2022’de durdu.
Ardından, yılın sonuna doğru WithSecure, çeşitli kuruluşlarda insanlar tarafından yürütülen bir dizi siber saldırı tespit etti.
Gözlenen ilk izinsiz giriş, tehdit aktörünün bir Fortinet SSL VPN’deki bir güvenlik açığı aracılığıyla ilk erişimi elde ettiği ve bu erişimi Cobalt Strike işaretlerini başlatmak için kullandığı bir sosyal yardım kuruluşunun hedeflenmesiyle Fransa’da gerçekleşti. Bu uzun bir süreçte gelişti.
WithSecure’s Elements teknolojisi tarafından tespit edildiğinde, tehdit aktörü döndü ve Silkloader’ı kullanarak başka bir Cobalt Strike işaretini başlatmaya çalıştı. Bu saldırı, diğerleri gibi başarılı bir şekilde kontrol altına alındı, ancak neredeyse kesinlikle bir fidye yazılımı saldırısının başlangıç aşamalarıydı.
Başta ilk erişim elde etmek için Fortinet güvenlik açıklarının kullanılması olmak üzere tehdit aktörünün taktikleri, teknikleri ve prosedürlerinin (TTP’ler) daha ayrıntılı analizi, WithSecure ekibinin saldırıların muhtemelen Play fidye yazılımının operatörleriyle bağlantılı olduğu değerlendirmesine yol açtı.
Adını şifrelenmiş dosyalara eklediği .play uzantısından alan Play, 2022’de ortaya çıktı ve muhtemelen Ocak 2023’te FBI tarafından başarıyla kesintiye uğratılan feshedilmiş Hive operasyonuyla yakından ilgili. araba satıcısı Arnold Clark ve Rackspace’te Aralık 2022’de binlerce kişi için barındırılan hizmetleri kesintiye uğratan kötü şöhretli olay.
Silkloader’ın Rusça konuşan bir fidye yazılımı karteli tarafından benimsenmesi ilginç bir siber merak gibi görünse de, siber suç ticaretine ilişkin değerli bir içgörü işlevi görerek araçların nasıl elde edildiğini veya gruplar arasında nasıl paylaşıldığını ortaya çıkarıyor ve aralarındaki bağlantıları sağlamlaştırıyor.
Hassan Nejad, bu örnekte, bağımsız bir kodlayıcı bile olabilecek Çinli operatörün muhtemelen onu bir Rus aktöre sattığını söyledi. Bunun büyük olasılıkla yine feshedilmiş Conti operasyonuyla yakından bağlantılı biri olduğunu öne sürdü – özellikle Hive, İrlanda Sağlık Hizmetini vuran eski Conti operasyonu olan UNC2727, Gold Ulrick veya Wizard Spider olarak bilinen bir aktör tarafından büyük bir zevkle kullanıldı. 2021’de Yönetici (HSE).
“Silloader’ın şu anda Rus siber suç ekosisteminde, fidye yazılımı gruplarına bir hizmet olarak paketleyici programı aracılığıyla veya muhtemelen güvenilir bağlı kuruluşlara bir hizmet olarak Cobalt Strike/altyapısı sunan gruplar aracılığıyla kullanıma hazır bir yükleyici olarak dağıtıldığına inanıyoruz. dedi Hasan Nejad.
Finansal saiklerle siber suçla mücadele
WithSecure Intelligence’ın başkan yardımcısı Paolo Palumbo, Silkloader’ın hizmet bazında bariz bir şekilde kullanılabilir olması, mali saiklerle hareket eden siber suçlarla mücadelenin ne kadar zorlu olabileceğinin de altını çiziyor.
“Saldırganlar, operasyonlarını hedeflerinin savunmalarına hızla uyarlayabilmek için yeni yetenekler ve teknolojiler elde etmek için siber suç endüstrisini kullanıyor” dedi. “Bu, kaynakları belirli bir grupla veya operasyon moduyla ilişkilendirmemizi zorlaştırıyor.
Palumbo, “Öte yandan, bu altyapı paylaşımı bize, paylaştıkları kaynaklara karşı stratejiler oluşturarak birkaç gruba karşı aynı anda savunma yapabileceğimiz bir savunma gücü çarpanı sunuyor” dedi.