ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, FBI ve Avustralya Siber Güvenlik Merkezi’nin güncellenmiş bir tavsiyesine göre, BianLian fidye yazılımı operasyonu taktiklerini değiştirerek öncelikle bir veri hırsızlığı gaspı grubu haline geldi.
Bu yeni bilgi, aynı kurumlar tarafından Mayıs ayında yayınlanan ve BianLian’ın çalıntı Uzak Masaüstü Protokolü (RDP) kimlik bilgilerinin, özel Go tabanlı arka kapıların, ticari uzaktan erişim araçlarının kullanımını içeren değişen taktikleri hakkında uyarıda bulunan ortak bir tavsiye belgesinin güncellenmesiyle geldi. Windows Kayıt Defteri değişikliklerini hedef aldı.
O zamanlar BianLian, özellikle Avast’ın Ocak 2023’te aile için bir şifre çözücü yayınlamasının ardından dosya şifreleme taktiklerini yavaş yavaş terk ederek veri hırsızlığı gaspına geçiş yapmaya başlamıştı.
BleepingComputer, 2023’ün sonlarına doğru şifreleme kullanan BianLian saldırılarını biliyor olsa da, güncellenen danışma belgesi, tehdit grubunun Ocak 2024’ten bu yana yalnızca veri gaspına yöneldiğini söylüyor.
CISA’nın açıklamasına göre “BianLian grubu başlangıçta verileri sızdırdıktan sonra kurbanların sistemlerini şifreledikleri bir çift şantaj modeli kullandı; ancak Ocak 2023 civarında öncelikli olarak sızmaya dayalı şantajlara geçtiler ve Ocak 2024 civarında da tamamen sızmaya dayalı gasplara geçtiler.” güncellenmiş danışma.
Tavsiye metninde vurgulanan bir diğer nokta ise BianLian’ın artık yabancı dildeki adları kullanarak kökenlerini gizlemeye çalışmasıdır. Ancak istihbarat teşkilatları, ana operatörlerin ve birçok bağlı kuruluşun Rusya’da yerleşik olduğundan emin.
Tavsiye belgesi aynı zamanda fidye yazılımı çetesinin yeni teknikleri, taktikleri ve prosedürleriyle de güncellendi:
- İlk erişim için Windows ve ESXi altyapısını, muhtemelen ProxyShell yararlanma zincirini (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) hedefler.
- SOCK5 tünellerini kullanarak trafik hedeflerini maskelemek için Ngrok ve değiştirilmiş Rsocks’u kullanır.
- Windows 10 ve 11’de ayrıcalıkları yükseltmek için CVE-2022-37969’dan yararlanır.
- Algılamayı atlamak için UPX paketlemesini kullanır.
- Kaçınmaya yönelik meşru Windows hizmetleri ve güvenlik ürünlerinden sonra ikili dosyaları ve görevleri yeniden adlandırır.
- Etki Alanı Yöneticisi ve Azure AD Hesapları oluşturur, SMB aracılığıyla ağ oturum açma bağlantıları gerçekleştirir ve Exchange sunucularına web kabukları yükler.
- Kullanıcılar, dışarı çıkmadan önce toplanan verileri sıkıştırmak için PowerShell komut dosyaları kullanır.
- Fidye notunda kurban iletişimi için yeni Tox Kimliği bulunur.
- Ele geçirilen ağa bağlı yazıcılara fidye notları yazdırır ve kurban şirketlerin çalışanlarını baskı uygulamaya çağırır.
Yukarıdakilere dayanarak CISA, RDP kullanımının sıkı bir şekilde sınırlandırılmasını, komut satırı ve komut dosyası izinlerinin devre dışı bırakılmasını ve Windows sistemlerinde PowerShell kullanımının kısıtlanmasını önerir.
BianLian’ın son etkinliği
2022’den bu yana aktif olan BianLian fidye yazılımı şu ana kadar verimli bir yıl geçirdi ve karanlık ağdaki gasp portalında 154 kurbanı listeledi.
Kurbanların çoğu küçük ve orta ölçekli kuruluşlar olmasına rağmen BianLian, son zamanlarda Air Canada, Northern Minerals ve Boston Çocuk Sağlığı Doktorlarına karşı olanlar da dahil olmak üzere bazı önemli ihlallere maruz kaldı.
Tehdit grubu yakın zamanda küresel bir Japon spor giyim üreticisine, önde gelen bir Texas kliniğine, küresel bir madencilik grubuna, uluslararası bir mali danışmanlık şirketine ve ABD’deki önemli bir dermatoloji muayenehanesine yönelik ihlaller duyurdu ancak bunlar henüz doğrulanmadı.