Syssphinx (namı diğer FIN8), Noberus fidye yazılımını dağıtmak için yenilenmiş alaycı arka kapı kullanan, finansal olarak motive olmuş bir siber suç grubudur.
Bu grup, konaklama, perakende, eğlence, sigorta, teknoloji, kimya ve finans sektörleri gibi kuruluşları hedef alarak Ocak 2016’dan beri faaliyet göstermektedir.
Ayrıca, güvenliği ihlal edilmiş cihazlara yönelik saldırılarında Ragnar Locker fidye yazılımı, beyaz tavşan ve Noberous gibi çeşitli fidye yazılımlarını dağıtma konusundaki kötü şöhretli eylemiyle de bilinir.
Symantec araştırmacıları yakın zamanda bir syssphinx saldırısı gözlemlediler ve daha önce kullanılan alaycı arka kapının yeni bir varyantını kullandıklarını keşfettiler.
genel bakış
Diğer APT’lerin aksine, syssphinx tespitten kaçmak için saldırıya başlamadan önce araçlarını ve tekniklerini sürekli olarak değiştirir.
Saldırıyı başlatmak için hedef odaklı kimlik avı ve sosyal mühendislik kullanır; daha sonra saldırıya dayalı olarak çeşitli fidye yazılımları sağlamak için çeşitli arka kapılar kullanır.
Daha önce kullanılan arka kapı ile mevcut örnek arasındaki benzerlikleri önlemek için arka kapının bazı özelliklerini değiştirir.
Yenilenen Arka Kapı Özellikleri:
Bu arka kapının nesne yönelimli özelliklerinin çoğu, sade bir C uygulamasıyla değiştirilmiştir.
Arka kapı, hedef makineye bulaşmak için bir PowerShell betiği aracılığıyla iletilir.
Saldırıya başlamadan önce, kullanıcı makinesinin aktif oturumlarını kontrol eder ve kalıcılığı sağlamak için C2 sunucusuna bağlanır.
Verileri, şifreleme anahtarı olarak rc4_key kullanarak RC4 algoritması ile şifreler. Anahtar akışı, her bir alanı şifrelerken yeniden kullanılır.
Diğer bir dikkate değer özellik ise, arka kapının işlevselliğini genişletmek için PE DLL eklentileri, kabuk kodu eklentileri ve çeşitli argümanlarla kabuk kodu gibi üç farklı formatı desteklemesidir.
Ayrıca arka kapı, aynı anda 10 adede kadar etkileşimli oturumun çalışmasına izin verme yeteneğine sahiptir.
Saldırgan, her işlemi başlatmak için her oturum için çalınan bir işlem belirteci kullanır.
Uzlaşma Göstergeleri
SHA256 Dosya sağlamaları:
1d3e573d432ef094fba33f615aa0564feffa99853af77e10367f54dc6df95509 307c3e23a4ba65749e49932c03d5d3eb58d133bc6623c436756e48de68b9cc45 – Hacktool.Mimikatz 48e3add1881d60e0f6a036cfdb24426266f23f624a4cd57b8ea945e9ca98e6fd – DLL file 4db89c39db14f4d9f76d06c50fef2d9282e83c03e8c948a863b58dedc43edd31 – 32-bit shellcode 356adc348e9a28fc760e75029839da5d374d11db5e41a74147a263290ae77501 – 32-bit shellcode e7175ae2e0f0279fe3c4d5fc33e77b2bea51e0a7ad29f458b609afca0ab62b0b – 32-bit shellcode e4e3a4f1c87ff79f99f42b5bbe9727481d43d68582799309785c95d1d0de789a – 64-bit shellcode 2cd2e79e18849b882ba40a1f3f432a24e3c146bb52137c7543806f22c617d62c – 64-bit shellcode 78109d8e0fbe32ae7ec7c8d1c16e21bec0a0da3d58d98b6b266fbc53bb5bc00e – 64-bit shellcode ede6ca7c3c3aedeb70e8504e1df70988263aab60ac664d03995bce645dff0935 5b8b732d0bb708aa51ac7f8a4ff5ca5ea99a84112b8b22d13674da7a8ca18c28 4e73e9a546e334f0aee8da7d191c56d25e6360ba7a79dc02fe93efbd41ff7aa4 05236172591d843b15987de2243ff1bfb41c7b959d7c917949a7533ed60aafd9 edfd3ae4def3ddffb37bad3424eb73c17e156ba5f63fd1d651df2f5b8e34a6c7 827448cf3c7ddc67dca6618f4c8b1197ee2abe3526e27052d09948da2bc500ea 0e11a050369010683a7ed6a51f5ec320cd885128804713bb9df0e056e29dc3b0 0980aa80e52cc18e7b3909a0173a9efb60f9d406993d26fe3af35870ef1604d0 64f8ac7b3b28d763f0a8f6cdb4ce1e5e3892b0338c9240f27057dd9e087e3111 2d39a58887026b99176eb16c1bba4f6971c985ac9acbd9e2747dd0620548aaf3 8cfb05cde6af3cf4e0cb025faa597c2641a4ab372268823a29baef37c6c45946 72fd2f51f36ba6c842fdc801464a49dce28bd851589c7401f64bbc4f1a468b1a 6cba6d8a1a73572a1a49372c9b7adfa471a3a1302dc71c4547685bcbb1eda432