“Doge Big Balls Fidye Yazılımı” olarak adlandırılan yeni ve son derece sofistike bir fidye yazılımı kampanyası, teknik yenilik ve psikolojik manipülasyonun bir karışımını göstererek ortaya çıktı.
Bu işlem, görünüşte zararsız bir fermuar dosyası ile başlayan ve gelişmiş bir fidye yazılımı yükünün dağıtımında doruk noktasına giren çok aşamalı enfeksiyon zinciri için öne çıkıyor.
Enfeksiyon Zinciri: Zip dosyaları ve LNK kısayolları
Saldırı genellikle bir zip dosyası ile başlar, genellikle “ödeme ayarlaması.zip” gibi finansal konularda temalıdır. İçeride, PDF veya başka bir meşru belge olarak aldatıcı bir LNK (kısayol) dosya maskelenir.
.png
)
Kurban bu kısayolu açtığında, sessizce bir dizi PowerShell komutu yürütür.
Bu komutlar, yönetici ayrıcalıkları kontrol eden ve kullanıcının erişim düzeyine bağlı olarak ek kötü amaçlı dosyalar indiren bir komut dosyası indirir ve çalıştırır.
Yönetim hakları tespit edilirse, komut dosyası sistemin başlangıç dizininde gizli bir klasör oluşturur ve “Adobe Acrobat.exe” olarak gizlenmiş sis fidye yazılımının değiştirilmiş bir sürümünü indirir.
Ayrıca, saldırının bir sonraki aşaması için çok önemli olan bir çekirdek istismar aracı olan “Ktool.exe” alıyor.
Admin olmayan kullanıcılar için fidye yazılımı, daha sonra tetiklenmesi muhtemel olan kullanıcıya özgü bir başlangıç klasörüne yerleştirilir.
Bu kampanyada kullanılan PowerShell senaryoları, anti-analiz özellikleri ve psikolojik taktikleri için dikkat çekicidir.
Bunlar, muhtemelen kurbanları ve analistleri karıştırmayı veya korkutmayı amaçlayan gerçek bireylere kışkırtıcı ifadeler ve referanslar içerir.
Byovd: savunmasız sürücüleri kullanmak
Bu kampanyanın göze çarpan bir özelliği, kendi savunmasız sürücü (BYOVD) tekniğinizi getirmesidir.
Saldırganlar, çekirdek seviyesi erişim elde etmek için bir Intel sürücüsünde (CVE-2015-2291) bilinen bir güvenlik açığından yararlanır.
Bu, ayrıcalıkları artırmalarını, güvenlik günlüğünü devre dışı bırakmalarını ve fidye yazılımlarının tespit edilmemiş çalışmasını sağlayabilmelerini sağlar.
Çekirdek istismar aracı, yetkisiz kullanımı önlemek için bir yürütme korkusu görevi gören bir işlem kimliği ve sert kodlanmış bir anahtarla yürütülür.
Dosyaları şifrelemeden önce fidye yazılımı, donanım kimlikleri, ağ yapılandırmaları ve çalışma işlemleri dahil olmak üzere kapsamlı sistem ve ağ bilgileri toplar.
Benzersiz bir şekilde, cihazın fiziksel konumunu belirlemek için kurbanın yönlendiricisinin (BSSID) MAC adresini kullanarak wigle.net API’sını sorgular.
Bu yöntem, geleneksel IP tabanlı tekniklerden çok daha doğru bir coğrafi konum sağlar, bu da yüksek hedefli bir yaklaşımı gösterir.
Fidye yazılımı yürütme ve psikolojik manipülasyon
Yürütüldükten sonra, fidye yazılımı bir onay istemi görüntüler, fidye notu açar ve faaliyetlerini günlüğe kaydeder.
Fidye notu gerçek bir birey Edward Coristine’ye atıfta bulunur ve Monero kripto para biriminde ödeme talep eder.
Marka ve referanslar, belirli bireyleri veya kuruluşları yanıltmak, korkutmak veya malign yapmak için tasarlanmıştır.
Dosyaları “.flocked” uzantıyla şifreledikten sonra, fidye yazılımı etkilenen her klasörde fidye notlarını düşürür ve kurtarmayı önlemek için gölge ses kopyalarını siler.
Saldırı ayrıca, uzun vadeli erişim veya şifreleme sonrası etkinlik potansiyelini düşündüren bir tahribat C2 Beacon’u da yerleştiriyor.
Çevre değişken kontrolleri gibi anti-analiz teknikleri, kum havuzu veya izlenen ortamlarda tespitten kaçınmak için kullanılır.
Bu tür gelişmiş tehditlere karşı savunmak için kuruluşlar şunlar olmalıdır:
- Güvenilmeyen LNK dosyalarının ve PowerShell komut dosyalarının yürütülmesini engelleyin.
- PowerShell aktivitesini ve anomaliler için proses zincirlerini izleyin.
- Son nokta algılama ve yanıt (EDR) çözümlerini dağıtın.
- İdari ayrıcalıkları sınırlayın ve ayrıcalık artışını izleyin.
- Giden trafiği yetkisiz bulut hizmetlerine kısıtlayın ve şüpheli API çağrılarını izleyin.
Doge Big Balls fidye yazılımı kampanyası, siber tehditlerin gelişen karmaşıklığını örneklendirerek, etkiyi en üst düzeye çıkarmak ve tespitten kaçınmak için teknik yeniliği psikolojik taktiklerle birleştiriyor.
Bu tür çok yönlü saldırılara karşı savunmak için sağlam, katmanlı güvenlik önlemleri gereklidir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!