Yeni ortaya çıkan bir tehdit aktörü Mahzen Hortlakları Rus işletmelerini ve devlet kurumlarını fidye yazılımıyla hedef alan ve iş operasyonlarını ve finansal kazancı bozmak gibi çifte hedefi olan bir dizi siber saldırıyla ilişkilendirildi.
Kaspersky, “İncelenen grupta Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec ve diğerleri gibi yardımcı programları içeren bir araç seti var” dedi. “Grup, son yük olarak iyi bilinen fidye yazılımı LockBit 3.0 ve Babuk’u kullandı.”
Kötü niyetli saldırıların kurbanları arasında devlet kurumlarının yanı sıra Rusya’da bulunan madencilik, enerji, finans ve perakende şirketleri de yer alıyor.
Rus siber güvenlik sağlayıcısı, ilk saldırı vektörünü yalnızca iki durumda tespit edebildiğini, tehdit aktörlerinin VPN aracılığıyla iç sistemlere bağlanmak için yüklenicinin oturum açma kimlik bilgilerini kullandığını söyledi.
VPN bağlantılarının, bir Rus barındırma sağlayıcısının ağı ve bir yüklenicinin ağıyla ilişkili IP adreslerinden kaynaklandığı söyleniyor; bu, güvenilir ilişkileri silah haline getirerek radarın altından uçma girişimine işaret ediyor. Yüklenici ağlarının VPN hizmetleri veya yamalanmamış güvenlik kusurları yoluyla ihlal edildiğine inanılıyor.
İlk erişim aşaması, uzaktan erişimi sürdürmek için NSSM ve Localtonet yardımcı programlarının kullanılmasıyla gerçekleştirilir ve sonraki kullanım aşağıdaki gibi araçlarla kolaylaştırılır:
- Kimlik doğrulama verilerini toplamak için XenAllPasswordPro
- CobInt arka kapısı
- Mimikatz kurbanların kimlik bilgilerini çıkaracak
- dumper.ps1, Kerberos biletlerini LSA önbelleğinden boşaltmak için
- Oturum açma kimlik bilgilerini lsass.exe belleğinden çıkarmak için MiniDump
- Google Chrome ve Microsoft Edge tarayıcılarında depolanan kimlik bilgilerini kopyalamak için cmd.exe
- Ağ keşfi için PingCastle
- Uzaktan komutları çalıştırmak için PAExec
- AnyDesk ve uzaktan erişim için SOCKS5 proxy’sini yeniden etkinleştiriyor
Saldırılar, Windows için LockBit 3.0 ve Linux/ESXi için Babuk’un halka açık sürümleri kullanılarak sistem verilerinin şifrelenmesiyle sona eriyor ve ayrıca kurtarmayı engellemek için Geri Dönüşüm Kutusu’nda bulunan verileri şifrelemeye yönelik adımlar atılıyor.
Kaspersky, “Saldırganlar, gelecekte iletişim kurmak üzere Session mesajlaşma hizmetine kimliklerini içeren bir bağlantı içeren bir fidye notu bırakıyor” dedi. “ESXi sunucusuna SSH üzerinden bağlanıp Babuk’u yükleyecekler ve sanal makinelerdeki dosyalar için şifreleme işlemini başlatacaklar.”
Crypt Ghouls’un bu saldırılardaki araç ve altyapı seçimi, MorLock, BlackJack, Twelve, Shedding Zmiy (diğer adıyla ExCobalt) dahil olmak üzere son aylarda Rusya’yı hedef alan diğer gruplar tarafından yürütülen benzer kampanyalarla örtüşüyor.
Şirket, “Siber suçlular, genellikle taşeronlara ait olan ele geçirilmiş kimlik bilgilerinden ve popüler açık kaynak araçlarından yararlanıyor” dedi. “Rusya’ya yapılan saldırılarda kullanılan ortak araç seti, olaya karışan belirli hacktivist grupların yerini belirlemeyi zorlaştırıyor.”
“Bu, mevcut aktörlerin yalnızca bilgi paylaşımında bulunmadığını, aynı zamanda araç kitlerini de paylaştıklarını gösteriyor. Tüm bunlar, Rus kuruluşlarına yönelik saldırı dalgasının ardındaki belirli kötü niyetli aktörlerin tespit edilmesini daha da zorlaştırıyor.”