Fidye Yazılım Çetesi, Uzaktan Yürütme Yardımcı Programlarını Kullanıyor

   Ekim 17, 2022  Posted in GBHackers


Fidye Yazılımı Uzaktan Yürütme Yardımcı Programlarını Kullanıyor

Microsoft Tehdit İstihbarat Merkezi (MSTIC), Ukrayna ve Polonya’daki ulaşım ve ilgili lojistik sektörlerindeki kuruluşları hedefleyen “Prestige” adlı yeni bir fidye yazılımı buldu.

Araştırmacılar, bu yeni fidye yazılımı kampanyasının ilk olarak 11 Ekim’de tüm kurbanlar arasında bir saat arayla meydana gelen saldırılarda başlatıldığını söylüyor.

Prestige Ransomware’in Önemli Özellikleri

Bu durumda, saldırganların, Ukrayna’da yaygın olmayan, kurbanlarının kurumsal ağlarında fidye yazılımı yüklerini dağıttığı görüldü.

DÖRT

Microsoft, “Etkinlik, özellikle etkilenen coğrafyalar ve ülkeler üzerinde Rusya’nın son zamanlardaki devlet bağlantılı faaliyetleriyle mağduriyetini paylaşıyor ve FoxBlade kötü amaçlı yazılımının (HermeticWiper olarak da bilinir) önceki kurbanlarıyla örtüşüyor” diyor.

MSTIC, bu kampanyayı bilinen herhangi bir tehdit grubuyla ilişkilendirmedi ve soruşturmalar halen devam ediyor. Bu aktivite, aşağıdaki iki uzaktan yürütme yardımcı programının kullanımını içeriyordu:

  • RemoteExec – aracısız uzaktan kod yürütme için piyasada bulunan bir araç
  • Impacket WMIexec – uzaktan kod yürütme için açık kaynaklı komut dosyası tabanlı bir çözüm

Ayrıcalık yükseltme ve kimlik bilgisi çıkarma için kullanılan araçlar:

  • winPEAS – Windows’ta ayrıcalık yükseltme gerçekleştirmek için açık kaynaklı bir komut dosyası koleksiyonu
  • comsvcs.dll – LSASS işleminin belleğini boşaltmak ve kimlik bilgilerini çalmak için kullanılır
  • ntdsutil.exe – Active Directory veritabanını yedeklemek için kullanılır, muhtemelen daha sonra kimlik bilgilerini kullanmak için

Araştırmacılar, gözleme dayanarak, saldırganın fidye yazılımı dağıtımına yardımcı olmak için Etki Alanı Yöneticisi gibi oldukça ayrıcalıklı kimlik bilgilerine zaten erişim kazandığını söylüyor.

Fidye Yazılımı Dağıtımı İçin Kullanılan Yöntemler

Yöntem 1:

İlk yöntemde, fidye yazılımı yükü uzak bir sistemin ADMIN$ paylaşımına kopyalanır ve Impacket, yükü yürütmek için hedef sistemlerde uzaktan bir Windows Zamanlanmış Görevi oluşturmak için kullanılır.

https://www.microsoft.com/security/blog/uploads/securityprod/2022/10/Method1c.png

Yöntem 2:

Daha sonra, bu yöntemde fidye yazılımı yükü, uzak bir sistemin ADMIN$ paylaşımına kopyalanır ve Impacket, yükü yürütmek için hedef sistemlerde kodlanmış bir PowerShell komutunu uzaktan çağırmak için kullanılır.

https://www.microsoft.com/security/blog/uploads/securityprod/2022/10/Method2c.png

Yöntem 3:

Fidye yazılımı yükü, bir Active Directory Etki Alanı Denetleyicisine kopyalanır ve Varsayılan Etki Alanı Grup İlkesi Nesnesi kullanılarak sistemlere dağıtılır.

https://www.microsoft.com/security/blog/uploads/securityprod/2022/10/Method3c.png

Araştırmacılar, “Prestij” fidye yazılımının kurbanların verilerini şifreleyerek ve verilerin yalnızca bir şifre çözme aracı satın alındığında kilidinin açılabileceğini söyleyen bir fidye notu bırakarak çalıştığını söylüyor.

Müşteriler Bu Uyarılara Göre Hareket Etmeli

  • Impacket araç seti aracılığıyla klavyede devam eden uygulamalı saldırı
  • WinPEAS aracı algılandı
  • Hassas kimlik bilgisi belleği okuma
  • LSASS belleğinden dökülen parola karmaları
  • Şüpheli zamanlanmış görev etkinliği
  • Sistem kurtarma ayarı kurcalama
  • Dosya yedekleri silindi

Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Özgür e-kitap



Source link