Hill ASC Inc.’in ABD Adalet Bakanlığı ile olan 14.75 milyon dolarlık yerleşim, Rockville merkezli yüklenicinin “son derece uyarlanabilir” siber güvenlik desteği için faturalandırdığı iddia edilen beş yıllık bir destanı kapatıyor.
Müfettişler, Hill’in sahasının, federal kuşaklarda “Shadowquill” lakaplı bir yükleyiciyi sessizce tohumlayan ısmarlama bir uç nokta izleme platformuna bağlı olduğunu ve üçüncü taraf altyapısına trafiği gerçekleştirirken hızlı tehdit avı vaat ettiğini söylüyor.
SHADHOQUIL, dalgalanma fiyatlandırma anormalliklerinin iç hazine denetimini tetiklediğinde 2011 ortalarında ortaya çıktı. Paket yakalamalar, sertifika iptal kontrolleri olarak maskelenen TLS Beacons’ı ortaya çıkardı ve yükleyicinin GitHub Gists’ten şifreli PowerShell yüklerini almasına izin verdi.
Halkla İlişkiler Analistleri Ofisi, daha önce Silentlibra Grubu ile bağlantılı taktikleri yineledi ve Hill’in fatura ani artışlarını üç aylık yama döngülerinde komut ve kontrol patlamalarıyla ilişkilendirdi.
Uygulamada, kötü amaçlı yazılım, yüklenicinin uzaktan yardımcı araç zincirine pişirilmiş güvenilir zamanlayıcı izinlerinden yararlandı. Çağırıldıktan sonra, yasal satıcılar tarafından zaten imzalanmış ve geleneksel imza tarayıcıları kör bırakarak DLL’leri yansıtarak ana bilgisayar tabanlı saldırı önlemeyi önledi.
Etki şişirilmiş işgücü suçlamalarının ötesine gerildi; Ağ adli tıp, vergi mükellefi-veri analitiği ile ilgili kaynak kodu için en az yirmi dahili depoların kazındığını ve 2023’ün sonlarında acil bir ajans kimlik bilgisi rotasyonuna yol açtığını göstermektedir.
Yanlış Talepler Yasası yerleşimi veri hırsızlığı yerine hileli faturaları açarken, Adalet Bakanlığı yetkilileri kontrolsüz satıcı implantlarının mali atıkları sistemik maruziyete büyütebileceğini vurgulamaktadır.
Ödeme kabiliyetinin sınırlı cezaları, ancak Hill ayrıca çok yıllı bir uyum sözleşmesi uygulamalı ve üçüncü taraf mavi takım doğrulamasını finanse etmelidir.
İmzalı ikili proxy yürütme yoluyla tespit kaçınma
Shadowquill’in kalıcılığı, imzalı ikili proxy infazına yaslandı ve meşru “msiexec.exe” yi, yansıtıcı DLL’yi uygulama-whitelistingini açmadan kenar yüklemeye çağırdı.
Yükleyici, yükünü kayıt defterinin WMI filtrelerinde saklar, sistem çalışma süresi olaylarını tetikler, böylece yeniden başlatma döngüleri enfeksiyonu temizlemez.
Analistler, çalışma zamanı entropinin, birçok sezgisel eşiğin hemen altında, 7.2’nin yakınında kaldığını ve sıkıştırılmış telemetri lekeleri olarak maskelenmesine izin verdiğini buldu.
# YARA-style heuristic for ShadowQuill
rule ShadowQuill_ProxyExec {
strings:
$s1 = { 4D 53 49 45 58 45 43 } // "MSIEXEC"
$s2 = "registry::create('root\\subscription')" nocase
$s3 = /https:\/\/raw\.githubusercontent\.com\/.*\/.*\/payload.ps1/
condition:
uint16(0) == 0x5A4D and all of ($s*)
}Kuralın canlı bellek anlık görüntülerine karşı dağıtılması, GSA test aralıkları içinde 37 uzlaşmış uç noktayı tanımladı, davranışsal tabanlarda küçük sapmaların görünüşte rutin BT be bribin içinde sofistike tedarik zinciri dolandırıcılığını nasıl ortaya koyabileceğini vurguladı.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi