Tehdit aktörleri, Uzaktan Yönetim ve İzleme (RMM) araçlarına bağlı olarak giderek daha fazla tespit ediliyor ve bu da nispeten başarısız bir Hive fidye yazılımı dağıtımıyla sonuçlanıyor.
Orijinal veri, meşru bir belge gibi görünen yürütülebilir bir dosyadan oluşuyordu.
Huntress’e göre, bu kampanya büyük olasılıkla, tıklandığında çalıştırılabilir dosyayı indiren bir bağlantıyla birlikte e-posta yoluyla dağıtıldı.
DFIR, daha az ayrıcalıklı kullanıcıların kurulumun başarısız olmasına neden olacağından, ilk erişim yönteminin son kullanıcının yerel Yönetici olmasını gerektirdiğini bildiriyor.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Saldırı Nasıl Gerçekleştirilir?
Tehdit aktörü, sistem bilgisi, ipconfig ve net gibi temel Windows araçlarını kullanarak, yürütmeden yaklaşık bir saat sonra ScreenConnect aracılığıyla keşif komutlarını başlattı.
Birkaç dakika sonra tehdit aktörü, bir Kobalt Saldırısı işaretini yerleştirmek için bir BITS aktarım görevini gerçekleştirdi.
Tehdit aktörü, bir saat boyunca boşta kaldıktan sonra ek ikili dosya indirmek için ScreenConnect’i kullandı. Bu yeni dosya, içinde Metasploit kabuk kodu gizlenmiş, truva atı haline getirilmiş bir ApacheBench çalıştırılabilir dosyası içeriyordu.
Kabuk kodu, çalıştırıldığında bir Meterpreter komutunu ve kontrol kanalını başlatır. Tehdit aktörü yeni bir komuta ve kontrol kanalı başlattı ve ardından uzak hizmetler aracılığıyla bir sunucuda Atera ve Splashtop için PowerShell ve MSI yükleyicilerini başlatarak yanal harekete geçti.
Daha fazla BITS transferinin daha fazla Cobalt Strike dayanağı oluşturduğu görüldü. Raporlar, tehdit aktörünün Active Directory verilerini almak için PowerShell’in yerleşik araçlarını kullanan bir toplu iş dosyasını çalıştırdığını söylüyor. Tehdit aktörü, bu RDP bağlantılarını kullanarak ağdaki dosya paylaşımlarını ve yedeklemeleri inceledi.
Tehdit aktörü, nihai operasyonlarının ilk adımı olarak Hive fidye yazılımını başlattı. Fidye yazılımını birçok önemli sunucuda manuel olarak çalıştırmadan önce yöneticinin şifresini değiştirdiler.
Tehdit aktörü, etki alanı çapında şifreleme gerçekleştirmek için fidye yazılımı ikili dosyasını bir ağ paylaşımına yerleştirdi. Daha sonra, etki alanına katılan her makinede fidye yazılımı ikili dosyasını yürütmek için zamanlanmış bir işe sahip, etki alanı çapında yeni bir GPO oluşturdu.
Ayrıca tehdit aktörü, bu manuel fidye yazılımı operasyonlarının ardından tüm etki alanını şifrelemeye çalıştı.
Araştırmacılar, ilk erişimden itibaren fidye yazılımının (TTR) bulaşma süresinin 61 saat olduğunu söylüyor. Tehdit aktörü, saldırı sırasında varlıklarını gizlemek için faydalı eserleri sildi. Araştırmaya göre saldırganlar yanal hareket için uzaktan hizmetleri kullandı.
Yönetilen uç nokta çözümleri, kuruluşların tehditleri taramasına, yönetmesine, çözmesine ve veri ihlallerini önlemesine olanak tanır. Bugün Ücretsiz Deneyin!