Sömürü sonrası araçlar pazarı, Exfiltrator-22’nin ortaya çıkmasıyla yeni gelenleri karşıladı. Araştırmacılara göre, Cobalt Strike’a yeni bir alternatif olan Exfiltrator-22 hizmet olarak çerçeve (FaaS) araç seti, ilk olarak Aralık ayında görüldü ve kötü şöhretli LockBit fidye yazılımı çetesinin eski üyeleri tarafından “muhtemelen” geliştirildi.
28 Şubat tarihli bir Cyfirma raporuna göre Ex-22, yükseltilmiş ters kabuk, uzaktan dosya indirme ve yükleme, virüslü cihazların ekran görüntüsü ve canlı oturum izleme, ayrıcalık yükseltme yetenekleri ve LSASS kimlik bilgisi dökümü ve kalıcılığı içeren gelişmiş istismar sonrası yeteneklere sahiptir. yetenekler. Alıcılar, aylık 1.000 ABD Doları abonelikle bir yönetim paneline erişim elde eder. Araştırmacılar, bu ekibin Asya ülkeleri dışında faaliyet gösterdiğinden ve “agresif” bir pazarlama kampanyasıyla birlikte kendi ortaklık programını iddialı bir şekilde inşa ettiğinden kısmen emin olduklarını söylüyorlar.
Bu arada, LockBit 3.0 kampanyalarının son örnekleri, Exiltration-22 ile aynı komuta ve kontrol (C2) altyapısını kullandıklarını gösteriyor.
Ex-22 yaratıcıları, çerçevelerinin her antivirüs ve uç nokta algılama ve yanıt (EDR) satıcısı tarafından “tamamen algılanamaz” olduğunu iddia ediyor. Raporda bu tamamen doğru olmasa da, “13 Şubat 2023 itibarıyla, kötü amaçlı yazılımın Çevrimiçi Korumalı Alanlarda, birden çok dinamik tarama gerçekleştirildikten sonra bile hâlâ 5/70 oranında algılamaya sahip olduğu” açıklanıyor. “Bu bize, tehdit aktörlerinin analiz karşıtı ve savunmadan kaçma tekniklerinde yetenekli olduğunu gösteriyor.”
Analiz, bazı güvenlik uzmanlarının istismar sonrası faaliyet rüzgarlarında hafif bir değişiklik olarak gördüğü şeye işaret ediyor. Cobalt Strike, kötü adamlar için hala tercih edilen baskın araç olmaya devam ederken, bu çerçeveden kaynaklanan faaliyetleri tespit edebilen güvenlik araçları artıyor ve suç piyasası daha sinsi bir alternatif sağlamak için dönüyor. Bu hareketin geçen yılki en dikkate değer örneği, istismar sonrası kötü niyetli faaliyetler için Brute Ratel C4’ün daha fazla benimsenmesiydi.
Raporda, “Sürekli iyileştirmeler ve destekle, Ex-22, kullanım sonrası aşama için araç satın almayı planlayan ancak yüksek tespit oranları nedeniyle geleneksel araçları kullanmak istemeyen tüm tehdit aktörleri için gidilecek bir alternatif haline geliyor.”
Sömürü Sonrası Seçenekler Çoğalıyor
İlginç bir şekilde, Ex-22, aslında bu ay güvenlik araştırmacıları tarafından ortaya çıkarılan ikinci yüksek profilli, oldukça kaçamaklı sömürü sonrası çerçevedir. Şubat ayının başlarında, Zscaler ThreatLabZ araştırmacıları, Havoc adlı bir C2 çerçevesini kullanarak bir devlet kuruluşunu hedef aldığını gözlemledikleri bir kampanyanın analizini yayınladılar.
“C2 çerçeveleri üretken olsa da, açık kaynaklı Havoc çerçevesi, dolaylı sistem çağrıları ve uyku gibi gelişmiş kaçınma tekniklerinin uygulanması nedeniyle Windows 11 savunucusunun en güncel ve güncel sürümünü atlayabilen gelişmiş bir sömürü sonrası komuta ve kontrol çerçevesidir. Gizleme,” diye yazdı Zscaler araştırmacıları Niraj Shivtarkar ve Shatak Jain 14 Şubat tarihli bir analizde.
Bu arada, Ocak ayında Cybereason’lu araştırmacılar, kullanım sonrası etkinlik için C2 çerçevesi Sliver’ı kullanan son kampanyaları ayrıntılı olarak açıkladı. Bu, Sliver’ın yükselişini izleyen Microsoft ve Team Cymru tarafından yapılan çalışmanın devamı niteliğindedir. Açık kaynaklı bir alternatif olan Sliver ayrıca çapraz platformdur ve OS X, Linux ve Windows’ta eylem desteği sunar.