Siber güvenlik manzarası, kripto24 fidye yazılımı grubu, saldırı metodolojisinde endişe verici bir evrim sergilediğinden, yüksek değerli hedeflere karşı hassas grevler yürütmek için meşru idari araçları özel olarak geliştirilmiş kötü amaçlı yazılımlarla sorunsuz bir şekilde karıştırıyor.
Bu ortaya çıkan fidye yazılımı operasyonu, özellikle finansal hizmetler, üretim, eğlence ve teknoloji sektörlerine odaklanarak Asya, Avrupa ve Amerika Birleşik Devletleri’ndeki kuruluşları başarıyla tehlikeye atmıştır.
Şifreleme odaklı saldırılara büyük ölçüde dayanan geleneksel fidye yazılımı kampanyalarının aksine, Crypto24 operatörleri, etki potansiyelini en üst düzeye çıkarırken tespit risklerini en aza indirmek için yoğun olmayan saatlerde saldırılarını stratejik olarak zamanlayarak olağanüstü operasyonel olgunluk sergiler.
Grubun sofistike cephaneliği, yanal hareket için Psexec, kalıcı uzaktan erişim için Anydesk ve kimlik bilgisi hasat için anahtarlogerlar gibi meşru araçlar içerir, hepsi de gizli veri pespiltrasyon özellikleri için Google Drive ile entegre olur.
Tehdit aktörleri, güvenlik çözümlerini devre dışı bırakmak için tasarlanmış bir açık kaynaklı araç olan RealBindingEdr’in özelleştirilmiş bir versiyonunu konuşlandırarak gelişmiş teknik uzmanlığı göstermektedir.
Trend mikro analistleri, modern savunma mekanizmalarını nötralize etme yeteneği nedeniyle bu varyantı özellikle tehlikeli olarak tanımladılar ve muhtemelen bilinmeyen savunmasız sürücüleri çekirdek düzeyinde erişim elde etmek ve devre dışı uç nokta algılama sistemlerini devre dışı bırakmak için kullandı.
.webp)
Crypto24’ü diğer fidye yazılımı işlemlerinden ayıran şey, kurumsal güvenlik yığınlarını anlamak için metodik yaklaşımlarıdır.
Grup, fırsatçı saldırılardan emtia fidye yazılımlarında nadir görülen sabır ve stratejik planlama gösteren hedefli, zeka odaklı operasyonlara tehlikeli bir değişimi temsil eden tanımlanmış zayıflıklardan yararlanmak için sistematik olarak savunma mimarileri ve amaca yönelik araçlar geliştirdi.
Kara Taktikleri’nden Yaşayarak Gelişmiş Kaçma
Crypto24’ün metodolojisinin en ilgili yönü, operasyonel gizliliği korurken kötü niyetli hedeflere ulaşmak için meşru pencerelerin ustaca sömürülmesinde yatmaktadır.
Saldırganlar, güvenlik yazılımlarını ağ paylaşımlarından uzaktan yürütmek ve yanal hareket aşamalarından önce uç nokta korumasını etkili bir şekilde ortadan kaldırmak için meşru bir grup politika hizmeti olan GPScript.exe’den yararlanır.
Grubun kalıcılık mekanizmaları, Windows mimarisinin sofistike anlayışını ortaya koyuyor.
Ayrıcalıklı erişim oluşturmak için standart net.exe komutlarını kullanarak rutin güvenlik denetimleri sırasında tespitten kaçınmak için jenerik adlarla birden fazla yönetim hesapları oluştururlar.
Keşif yetenekleri eşit derecede gelişmiş, Windows Management Enstrümantasyon Komutları (WMIC) aracılığıyla kapsamlı sistem zekası toplamak için 1.bat gibi toplu dosyalar kullanıyor.
wmic partition get name,size,type
wmic COMPUTERSYSTEM get TotalPhysicalMemory,caption
net user
net localgroupBelki de en rahatsız edici olanı, meşru sistem süreçleri olarak maskelenirken hassas kimlik bilgilerini yakalamak üzere yapılandırılmış bir Keylogger hizmeti olarak winmainsvc.dll’yi dağıtmalarıdır.
Kötü amaçlı yazılım, sandbox analizini önlemek için yalnızca svchost.exe aracılığıyla yürütülmesini sağlayan sofistike kaçırma kontrolleri içerir.
Bu Keylogger, ilk enfeksiyondan daha uzun süre dayanan kalıcı sürveyans yetenekleri oluşturur ve tehlikeye atılan kuruluşlar için sürekli maruz kalma riskleri yaratır.
Crypto24 kampanyası, tehdit aktörlerinin modern siber güvenlik savunmalarını inceleyen ve sistematik olarak yenen kapsamlı saldırı platformları geliştirmek için basit şifreleme planlarının ötesine geçtikleri fidye yazılımı evriminde kritik bir bükülme noktasını temsil ediyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.