Dragonforce, 2023’ün sonlarından bu yana siber güvenlik ortamında önemli bir tehdit olarak ortaya çıkan sofistike ve hızla gelişen bir fidye yazılımı operasyonunu temsil ediyor.
Bir Hizmet Olarak Fidye Yazılımı (RAAS) modeli altında faaliyet gösteren bu grup, özelleştirilmiş saldırı varyantları oluşturmak için Lockbit 3.0 ve Conti gibi kötü şöhretli ailelerden sızan fidye yazılımı üreticilerinden yararlanarak olağanüstü uyarlanabilirlik göstermiştir.
Organizasyon, Ohio Piyangosu, Palau Hükümeti ve Marks & Spencer gibi büyük İngiltere perakendecilerine karşı dikkate değer saldırılarla, devlet kuruluşları, perakende devleri ve kritik altyapı da dahil olmak üzere birçok sektörde yüksek profilli kurbanları başarıyla hedef aldı.
Operasyonları, gelişmiş teknik yetenekleri profesyonel iş uygulamalarıyla birleştirerek, kapsamlı saldırı altyapısı ve destek hizmetleri sunarken fidye ödemelerinin% 80’ine kadar bağlı kuruluşlar sunmaktadır.
Dragonforce Fidye Yazılımına Giriş
Dragonforce ilk olarak Aralık 2023’te “Dragonleaks” Dark Web Portalının lansmanı ile ortaya çıktı ve kendilerini hızla fidye yazılım ekosisteminde zorlu bir oyuncu olarak kurdu.
Grubun kökenleri, mevcut operasyon tamamen kâr odaklı bir işletmeye dönüşmesine rağmen, bir hacktivist kolektif olan Dragonforce Malezya ile olası bağlantılara geri dönüyor.
2025 yılına gelindiğinde, Dragonforce hem yerinden edilmiş fidye yazılımı operasyonlarından hem de sağlam altyapı arayan serbest tehdit aktörlerinden çeken sofistike bir RAAS platformuna dönüştü.
Kuruluş, yerleşik ailelerden sızdırılmış kaynak koduna dayanan iki farklı fidye yazılımı varyantı işletmektedir. İlk varyantları, sızdırılmış Lockbit 3.0 (siyah) üreticisini kullandı ve karmaşık şifreleme mekanizmaları sıfırdan geliştirmeden hızlı bir şekilde etkili fidye yazılımı dağıtmalarına izin verdi.
Temmuz 2024’te Dragonforce, Conti V3 kod tabanına dayanan ikinci bir varyant tanıttı ve bağlı kuruluşlara gelişmiş özelleştirme özellikleri sağladı. Bu çift değişken yaklaşım, grubun bağlı kuruluşlara çeşitli saldırı seçenekleri sunma konusundaki teknik karmaşıklığını ve bağlılığını göstermektedir.
Grubun iş modeli, saldırı yönetimi araçlarını, otomatik özellikleri ve özelleştirilebilir inşaatçıları içeren kapsamlı bir platform sunan modern siber suç trendlerini yansıtır.
İştirakler, hedeflenen güvenlik özelliklerini devre dışı bırakarak, şifreleme parametrelerini yapılandırarak ve fidye notlarını kişiselleştirerek fidye yazılımı örneklerini uyarlayabilir.
2025’in başlarında, Dragonforce, beyaz etiketli bir fidye yazılımı hizmeti sunarak tekliflerini genişleterek, bağlı kuruluşların ek ücretler için alternatif isimler altında yükleri yeniden markalamalarını sağladı.
Saldırı vektörleri ve başlangıç erişim teknikleri
Dragonforce, hedef ağlara ilk erişimi elde etmek için çok sayıda sofistike vektör kullanır ve grubun çeşitli organizasyonel güvenlik açıkları hakkındaki anlayışını gösterir.
Kimlik avı kampanyaları, birincil saldırı vektörü olmaya devam ediyor, operatörler, şüpheli olmayan kullanıcılar tarafından yürütüldüğünde fidye yazılımı yükleri dağıtan kötü niyetli ekler veya bağlantılar içeren ikna edici mızrak-akma e-postaları hazırlıyor.
Bu kampanyalar genellikle başarı oranlarını artırmak için sosyal mühendislik tekniklerini kullanan kuruluşlar içindeki belirli bireyleri hedeflemektedir.
Bilinen güvenlik açıklarının sömürülmesi, Dragonforce operatörlerinin aktif olarak açılmamış sistemleri hedefleyen başka bir kritik saldırı vektörünü temsil eder.
Grup, özellikle CVE-2021-44228 (LOG4Shell), CVE-2023-46805 (Ivanti Connect Güvenlik Kimlik Doğrulama Bypass), CVE-2024-21412 (Microsoft Windows Windows Connecti (Ivant), CVE-2024-2187 Smart (Ivant (Ivant) bypass dahil olmak üzere çeşitli yüksek etkili güvenlik açıklarından yararlanmakla ilişkilendirilmiştir. CVE-2024-21893 (Ivanti Güvenli Yol Traversal’ı bağlayın).
Dragonforce bağlı kuruluşları, kötü güvenli uzaktan erişim altyapısı olan kuruluşları sistematik olarak hedefler, kalıcı bir ağ varlığı oluşturmak için çalıntı veya zayıf kimlik bilgilerini kullanırlar.
Grup ayrıca, saldırganların önceki bir barındırma şirketi tarafından kurulan uzaktan yönetim yazılımı aracılığıyla asla düzgün bir şekilde kaldırılmayan uzaktan yönetim yazılımı aracılığıyla erişim sağladığı son bir olayda gösterildiği gibi, güvenilir ilişkilerden yararlanmaktadır.
Bazı durumlarda, DragonForce operatörleri, tehlikeye giren yönetilen hizmet sağlayıcısı (MSP) ilişkilerinden yararlanarak ilk erişim elde etmiş ve bu da güvenilir bağlantılar yoluyla birden fazla istemci ortamına yanal olarak hareket etmelerini sağlar.
Bu teknik, tek bir uzlaşma noktası aracılığıyla çok sayıda kuruluşa erişim sağlayarak bireysel ihlallerin etkisini artırır.
Uzak Masaüstü Protokolü (RDP) ve VPN saldırıları önemli başlangıç erişim yöntemleri oluşturur, operatörler kimlik bilgisi doldurma saldırıları ve maruz kalan hizmetlere karşı kaba kuvvet işlemleri yapar.
Taktikler, Teknikler ve Prosedürler (TTPS)
Dragonforce’un operasyonel metodolojisi, kurumsal ağ uzlaşma tekniklerinin sofistike bir anlayışını gösteren çoklu taktiklerdeki ATT & CK çerçevesini takip eder.
| İlk Erişim | T1190 | Halka Bakan Uygulamadan İstismar | Exploits CVE-2021-44228 (Log4shell), CVE-2023-46805, CVE-2024-21412, CVE-2024-21887, CVE-2024-21893 | Yüksek | Orta |
| İlk Erişim | T1078 | Geçerli Hesaplar | Çalıntı/zayıf RDP ve VPN kimlik bilgileri, uzaktan erişim hizmetlerinde kaba kuvvet saldırıları kullanır | Yüksek | Düşük |
| İlk Erişim | T1566.001 | Mürettebat eki | Fidye yazılımı, belirli bireyleri hedefleyen kötü niyetli e -posta ekleri aracılığıyla dağıtır | Yüksek | Orta |
| İlk Erişim | T1566.003 | Hizmet yoluyla mızrak avcılığı | E -posta kimlik avı ile birlikte Vishing (Voice Kimlik Avı) kampanyaları yürütür | Orta | Yüksek |
| İlk Erişim | T1199 | Güvenilir ilişki | Meyveden Tahsis Pess İlişkileri ve Önceki Barındırma Şirketi Erişim | Orta | Yüksek |
| Uygulamak | T1204.002 | Kötü niyetli dosya | Sosyal mühendislik kullanıcıları fidye yazılımı yüklerini yürütecek, dosyaları System32’ye taşıyor32 | Yüksek | Düşük |
| Uygulamak | T1059.001 | Powershell | Komuta yürütme, yük dağıtım ve sistem keşfi için PowerShell’i kullanır | Yüksek | Orta |
| Uygulamak | T1053.005 | Planlanan görev/iş | Kalıcılık ve otomatik yürütme için zamanlanmış görevler oluşturur | Orta | Düşük |
| Kalıcılık | T1574.011 | Hizmetler Dosyası İzinleri Zayıflığı | Kalıcı arka kapı erişimi için AnyDesk uzaktan erişim aracını yükler | Yüksek | Orta |
| Kalıcılık | T1053.005 | Planlanan görev/iş | Yeniden başlatmalarda kalıcılığı korumak için zamanlanmış görevler oluşturur | Orta | Düşük |
| Kalıcılık | T1547.001 | Kayıt Defteri Çalıştır Anahtarları / Başlangıç Klasörü | Başlangıçta kötü amaçlı yazılım yürütmesini sağlamak için kayıt defteri çalıştırma anahtarlarını değiştirir | Orta | Düşük |
| Ayrıcalık artışı | T1134 | Erişim token manipülasyonu | DuplicateTeKex () API kullanarak sistem düzeyinde erişim belirteçlerini kopyalar | Yüksek | Yüksek |
| Ayrıcalık artışı | T1068 | Ayrıcalık artışı için sömürü | Yönetici ayrıcalıklarına yükselme için bilinen güvenlik açıklarından yararlanır | Orta | Orta |
| Savunma | T1027 | Gizlenmiş dosyalar veya bilgiler | Çince metin imzalarını yerleştirir, kod gizleme tekniklerini kullanır | Yüksek | Yüksek |
Uzlaşma Göstergeleri (IOCS)
Güvenlik ekipleri, erken algılama ve yanıtı sağlamak için Dragonforce kampanyalarıyla ilişkili belirli göstergeleri izlemelidir.
Ağ göstergeleri komut ve kontrol sunucusu IP adreslerini içerir: 2[.]147[.]68[.]96– 185[.]59[.]221[.]75Ve 69[.]4[.]234[.]20. Özellikle, İran’da uluslararası işbirliği veya altyapı kiralamasını öneren erken kampanya altyapısı tespit edildi.
| IOC Türü | Gösterge | Tanım | Tehdit seviyesi | Tespit yöntemi |
|---|---|---|---|---|
| IP Adresi (C & C) | 2.147.68.96 | Komut ve Kontrol Sunucusu | Yüksek | Ağ İzleme, Güvenlik Duvarı Günlükleri |
| IP Adresi (C & C) | 185.59.221.75 | Komut ve Kontrol Sunucusu | Yüksek | Ağ İzleme, Güvenlik Duvarı Günlükleri |
| IP Adresi (C & C) | 69.4.234.20 | Komut ve Kontrol Sunucusu | Yüksek | Ağ İzleme, Güvenlik Duvarı Günlükleri |
| Dosya Hash (SHA256) | B9bba02d18bacc4bc8d9e4f70657d38156807590cc9d0e7590327d85424b32 | Dragonforce Fidye Yazılımı Yürütülebilir Hash | Eleştirel | Dosya bütünlüğü izleme, antivirüs |
| Dosya Hash (SHA256) | ba1be94550898eedb10b73cb5383a2d10507ec4df8e0bff680d3e76a9e2429 | Dragonforce yük karma | Eleştirel | Dosya bütünlüğü izleme, antivirüs |
| Dosya Hash (SHA256) | D626B0565FAC677FDC13FB055967DC31E600C74FBDDD110B744F8E3A59DD3F9 | Dragonforce varyant karma | Eleştirel | Dosya bütünlüğü izleme, antivirüs |
| Dosya Yolu | C: \ users \ public \ belgeler \ winupdate.exe | Sunum Aracı Konumu | Yüksek | Dosya Sistemi İzleme, EDR |
| Dosya Yolu | C: \ windows \ system32 \ winupdate.exe | Alternatif Sunum Aracı Yolu | Yüksek | Dosya Sistemi İzleme, EDR |
| Dosya Yolu | C: \ users \ public \ log.log | Sistem Bilgi Günlüğü Dosyası | Orta | Dosya Sistemi İzleme |
| Dosya Yolu | C: \ Windows \ System32 \ | Ortak Yük Dağıtım Dizini | Orta | Dizin izleme |
| Dosya adı | Winupdate.exe | Veri Eksfiltrasyon Yardımcı Programı (Golang) | Yüksek | Süreç izleme, EDR |
| Dosya adı | Fileeek.exe | Dosya Keşif Keşif Aracı | Orta | Proses İzleme |
| Dosya adı | Readme.txt | Fidye notu dosya adı | Düşük | Dosya Sistemi İzleme |
| Dosya adı | Systembc | Kalıcılık için SOCKKS5 Backdoor | Yüksek | Ağ İzleme, İşlem İzleme |
| Dosya uzantısı | .dragonforce_encrypted | Şifrelenmiş dosya uzantısı | Orta | Dosya Sistemi İzleme |
| Etki alanı (.onion) | z3wqggtxft7id3ibr7srivv5gjof5fwg76slewnzwwakjuf3nlhukdid.onion | DragonLeaks Sızıntı Sitesi | Yüksek | Ağ İzleme, DNS günlükleri |
| Etki alanı (.onion) | 3PKTCRCBMSSVRNWE5SKBURDWE2H3V6IBDN5KBJQIHSG6EU6S6B7RYQD.onion | Alternatif Sızıntı Sitesi Domain | Yüksek | Ağ İzleme, DNS günlükleri |
Nisan 2025’te Marks & Spencer olayı, 300 milyon £ ve aylarca süren operasyonel aksamaların tahmini kayıplarına neden oldu ve saldırganlar CEO’ya fidye ödemeleri talep eden doğrudan e-posta gönderdi.
Bu vakalar, Dragonforce’un hem hükümet altyapısı hem de özel sektör kuruluşlarını yıkıcı etkinliğe sahip olma yeteneğini göstermektedir ve kapsamlı siber güvenlik önlemlerine ve olay müdahale planlamasına yönelik kritik ihtiyacı vurgulamaktadır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.