Outpost24’ten KrakenLabs, EncryPthub’ın çok aşamalı kötü amaçlı yazılım kampanyasını ortaya koyuyor ve altyapılarını ve taktiklerini kritik OPSEC başarısızlıkları yoluyla ortaya koyuyor. Bu yükselen siber suç grubunun nasıl çalıştığını ve poz verdikleri tehditleri öğrenin.
Yakın zamanda yapılan derinlemesine bir soruşturmada, Outpost24’ün uzman tehdit istihbarat ekibi KrakenLabs, EncryPthub olarak bilinen sofistike bir kötü amaçlı yazılım operasyonunun daha önce açıklanmayan yönlerini tespit etti. Hackread.com ile paylaşılan KrakenLabs’ın analizi, grubun operasyonel altyapısı, araçları ve karakteristik davranış kalıpları hakkında ayrıntılı bir anlayış sağlar.
Bu gelişmiş anlayış, EnpryPthub’ın Outpost24’e göre, kötü niyetli ekosistemlerinin yanlışlıkla önemli unsurlarını açıklayan bir dizi güvenlik turu ile mümkün oldu.
Bu operasyonel hatalar, temel altyapılarında dizin listelerinin etkinleştirilmesi, kötü amaçlı yazılım dosyalarının yanında çalınan verilerin depolanması ve veri hırsızlığı ve kampanya gözetiminde kullanılan telgraf bot konfigürasyonlarının maruz kalmasını içerir.
EncryPthub’ın saldırı kampanyaları, sistem bilgilerini toplamak, değerli verileri çıkarmak, kaçırma tekniklerini uygulamak, kötü amaçlı kod enjekte etmek ve ek veri çalma programları dağıtmak için tasarlanmış çok katmanlı PowerShell komut dosyaları ile karakterize edilir. Dağıtım yöntemleri arasında popüler uygulamaların truva atlı versiyonlarının kullanılması ve üçüncü tarafın oluşturma başına ödeme hizmetlerinin istihdamını içerir. Grup, kripto para birimi holdingleri, kurumsal ağ erişimi ve VPN kullanımı gibi faktörlere dayanarak çalıntı kimlik bilgilerine öncelik verir.
Ayrıca, EnfryPthub, enfekte olmuş sistemleri yönetmek için bir komut ve kontrol paneli içeren ve gelecekteki potansiyel ticarileştirmeyi öneren bir uzaktan erişim aracı olan “EncryPtrat” geliştirmektedir. Grup ayrıca devam eden siber güvenlik eğilimlerini aktif olarak izler ve yeni keşfedilen güvenlik açıklarını saldırılarına entegre eder.
EncryPthub, kötü amaçlı yazılımları meşru uygulamalar olarak gizlemek de dahil olmak üzere kötü amaçlı yazılımları algılamadan dağıtmak için çeşitli yöntemleri test etmiştir. Soruşturma sırasında araştırmacılar, grubun qq Talk, Wechat ve Microsoft Visual Studio 2022 gibi uygulamaların iptal edilmiş kod imzalama sertifikalarıyla imzalandığını ve daha sonra EncryPthub LLC tarafından verilen sertifikalarla birlikte kullanıldığını gözlemlediler. Bu truva uygulamaları, daha fazla kötü amaçlı kod indirmek ve yürütmek, sistem bilgilerini toplamak ve veri stealer’ları dağıtmak için PowerShell komut dosyaları içeriyordu.
Başka bir dağıtım yöntemi, otomatik telgraf botları aracılığıyla kötü amaçlı yazılımların hızlı bir şekilde konuşlandırılmasını kolaylaştıran bir install ödeme hizmeti olan LabinStalls’ın kullanımını içeriyordu. 10 $ (100 yük için) 450 $ ‘a kadar (10.000 yük için) kadar düşüktür. EncryPthub, bir yeraltı forumunda yayınlanan geri bildirimlerle bu hizmeti kullandıklarını doğruladı.
Grubun saldırı süreci veya Killchain, çok aşamalı bir PowerShell komut dosyası yürütmesini içeren en son sürümle gelişti. İlk komut dosyası, mesajlaşma oturumları, kripto para birimi cüzdan bilgileri ve şifre yöneticisi dosyaları dahil olmak üzere hassas verileri çalır. Daha sonra, değiştirilmiş bir Microsoft Common konsol belgesi de dahil olmak üzere diğer kötü amaçlı bileşenleri dağıtan ikinci bir komut dosyasını indirir ve yürütür. Son aşama, bir bilgi çalan Rhadamanthys’in konuşlandırılmasını içerir.
EnfryPthub ayrıca, enfekte olmuş sistemlerin yönetimine, uzaktan komut yürütme ve çalınan verilerin izlenmesine izin veren bir komut ve kontrol paneli EncryPtrat geliştirir. Aracın gelişimi, çok kullanıcı destek ve ayrılmış veri depolama gibi özelliklerle ticarileştirmeye yönelik potansiyel bir hareket olduğunu gösteriyor.
Krakenlabs’ın bulguları, EncryPthub gibi grupların ortaya koyduğu gelişen tehditlere karşı koymak için güvenlik önlemlerinin sürekli izlenmesi ve geliştirilmesi ihtiyacını vurgulamaktadır. Grubun hem şirket içi araçları hem de üçüncü taraf hizmetlerini uyarlama ve kullanma yeteneği, çok katmanlı güvenlik stratejilerinin önemini vurgulamaktadır.