CISA ve FBI, Phobos Ransomware Group Tarafından Kullanılan TTP'leri ve IOC'leri Yayınladı


CISA ve FBI, Phobos Ransomware Group Tarafından Kullanılan TTP'leri ve IOC'leri Yayınladı

FBI, CISA ve MS-ISAC, kritik altyapı kuruluşlarını Phobos fidye yazılımına karşı dikkatli olmaya çağırıyor.

Bu danışma #StopRansomware girişiminin bir parçasıdır ve savunuculara Phobos fidye yazılımı hakkında taktikleri, tehlike göstergeleri ve hafifletme stratejileri de dahil olmak üzere ayrıntılar sağlar.

Bu hizmet olarak fidye yazılımının (RaaS), Mayıs 2019'dan bu yana aşağıdakiler de dahil olmak üzere çeşitli sektörleri hedef aldığı gözlemlenmiştir:

  • Belediye ve ilçe yönetimleri
  • Acil servisler
  • Eğitim
  • Halk sağlığı bakımı

Şubat 2024 itibarıyla bildirilen son Phobos saldırıları, farkındalığın artırılması ve güçlü güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.

Teknik detaylar

Phobos aktörleri açığa çıkan RDP bağlantı noktalarını arar veya gizli kötü amaçlı yazılım içeren kimlik avı e-postaları gönderir.

Parolaları kırmak veya uzak bağlantılar kurmak için kaba kuvvet araçlarını kullanıyorlar. İçeri girdikten sonra ağlarını anlamak ve verileri çalmak için kurbanı araştırırlar.

Phobos saldırganları, yönetici düzeyinde izinlerle ek kötü amaçlı yazılım yüklemek için 1saas.exe veya cmd.exe gibi dosyaları çalıştırır.

Bu, Windows sistemlerinde çeşitli eylemler gerçekleştirmelerine olanak tanıyarak virüslü makine üzerinde geniş kontrol sahibi olmalarını sağlar.

Phobos, Smokeloader aracılığıyla ek kötü amaçlı yazılım dağıtmak için üç aşamalı bir süreç kullanıyor:

  1. Enjeksiyon: Smokeloader, güvenlik araçlarını atlayarak çalışan işlemlere kötü amaçlı kod enjekte etmek için sistem işlevlerini yönetir.
  2. Gizleme: Kontrol sunucusuyla olan iletişimini meşru web sitelerine yönelik istekler olarak maskeleyerek gizlemek için bir “gizli süreç” kullanır.
  3. Yük Teslimatı: Son olarak, kötü amaçlı bir yükü bellekten çıkarır ve dağıtıma hazırlar.

Bu, saldırganların ele geçirilen sisteme ek kötü amaçlı yazılım indirmesine olanak tanır. Ayrıca Phobos aktörleri sistemin güvenlik duvarını kapatmak için komutlar kullanıyor.

Faaliyetlerini güvenlik yazılımlarından gizlemek için Universal Virus Sniffer, Process Hacker ve PowerTool gibi araçları kullanırlar.

Darbe:

Phobos'un aktörleri, sızmanın ardından destek arıyor. Vssadmin.exe ve WMIC'yi kullanarak Windows birim gölge kopyalarını bulur ve silerler. Şifrelemeden sonra kurbanlar dosyaları geri yükleyemez.

Phobos.exe, tüm hedef ana bilgisayar mantıksal disklerini şifreleyebilir. Phobos fidye yazılımı yürütülebilir dosyaları benzersiz derleme kimliklerine, bağlı kuruluş kimliklerine ve yerleşik fidye notlarına sahiptir. Phobos fidye yazılımı, fidye mektubu göründüğünde diğer dosyaları arar ve şifreler.

E-posta, şantajın birincil yöntemidir; ancak bazı bağlı kuruluşlar mağdurlara telefon ediyor. Phobos aktörleri kurbanların isimlerini verebilir ve çalınan verileri Onion sitelerinde barındırabilir. Phobos aktörleri ICQ, Jabber ve QQ kullanarak etkileşime giriyor. Phobos'a bağlı şirketler Devos, Eight, Elbie, Eking ve Faust'un e-posta sağlayıcılarını listeler.

  • Güvenli uzaktan erişim yazılımı.
  • Uygulama kontrollerini uygulayın.
  • İzinsiz giriş tespit sistemlerini kullanın.
  • RDP kullanımını sınırlayın ve en iyi uygulamaları uygulayın.
  • Hesapları inceleyin ve gereksiz izinleri devre dışı bırakın.
  • Yedekleme ve kurtarma planlarını uygulayın.
  • Güçlü parola politikalarını ve çok faktörlü kimlik doğrulamayı zorunlu kılın.
  • Ağları bölümlere ayırın ve anormal etkinlikleri izleyin.
  • Antivirüs yazılımını güncelleyin ve kullanılmayan bağlantı noktalarını ve protokolleri devre dışı bırakın.
  • Banner'lar ve devre dışı bırakılan köprüler gibi e-posta güvenlik önlemlerini göz önünde bulundurun.
  • Yedeklemeleri şifreleyin ve koruyun.

Savunmaları doğrulayın:

  • Güvenlik kontrollerini test edin GÖNYE ATT&CK çerçeve.
  • Test sonuçlarına göre güvenlik programlarını düzenli olarak iyileştirin.

IOC'nin tamamını buradan kontrol edebilirsiniz.

Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link