Siber güvenlik araştırmacıları, Agenda grubu tehdit aktörlerinin Linux tabanlı fidye yazılımı ikili dosyalarını doğrudan Windows sistemlerine dağıttığı ve VMware sanallaştırma altyapısını ve yedekleme ortamlarını hedef aldığı karmaşık bir fidye yazılımı kampanyasını ortaya çıkardı.
Bu platformlar arası yürütme tekniği, geleneksel güvenlik varsayımlarına meydan okuyor ve fidye yazılımı operatörlerinin, öncelikle Windows’a özgü tehditlere odaklanan uç nokta tespit sistemlerini atlamaya nasıl uyum sağladıklarını gösteriyor.
Saldırı kampanyası, meşru uzaktan yönetim araçlarını gelişmiş savunmadan kaçınma taktikleriyle birleştiren yeni bir dağıtım yönteminden yararlanıyor.
Saldırganlar, güvenli dosya aktarımı için WinSCP’yi ve Windows makinelerinde Linux fidye yazılımı yüklerini yürütmek için Splashtop Remote’u kullanarak geleneksel güvenlik kontrollerini atlatan alışılmadık bir saldırı vektörü oluşturur.
Linux ikili dosyalarının uzaktan yönetim kanalları aracılığıyla dağıtımı, platformlar arası yürütmeyi izleyecek şekilde yapılandırılmamış güvenlik çözümleri için algılama zorlukları yaratır.
İlk erişim, Cloudflare R2 altyapısında barındırılan sahte CAPTCHA sayfalarını içeren gelişmiş sosyal mühendislik planları aracılığıyla sağlandı.
Google CAPTCHA doğrulamasının bu ikna edici kopyaları, bilgi hırsızlarının güvenliği ihlal edilmiş uç noktalara ulaşmasını sağlayarak kimlik doğrulama belirteçlerini, tarayıcı çerezlerini ve saklanan kimlik bilgilerini sistematik olarak toplar.
Çalınan kimlik bilgileri, tehdit aktörlerine ilk ortam erişimi için gerekli olan geçerli hesapları sağlayarak, çok faktörlü kimlik doğrulamayı atlamalarına ve meşru kullanıcı oturumlarını kullanarak yanal hareket etmelerine olanak sağladı.
Trend Micro araştırmacıları, saldırı zincirinin, savunmadan kaçınmaya yönelik Kendi Savunmasız Sürücünüzü Getirin (BYOVD) ve komuta ve kontrol trafiğini gizlemek için çeşitli sistem dizinleri boyunca birden fazla SOCKS proxy örneğinin konuşlandırılması dahil olmak üzere gelişmiş teknikler gösterdiğini belirledi.
Saldırganlar meşru araçları kötüye kullandılar; özellikle ATERA Networks’ün uzaktan izleme ve yönetim platformu aracılığıyla AnyDesk’i ve komut yürütmek için ScreenConnect’i kurarken, son fidye yazılımı uygulaması için Splashtop’u kullandılar.
Özel kimlik bilgisi çıkarma araçlarını kullanarak özellikle Veeam yedekleme altyapısını hedef aldılar ve fidye yazılımı yükünü dağıtmadan önce olağanüstü durum kurtarma yeteneklerini tehlikeye atmak için birden fazla yedekleme veri tabanındaki kimlik bilgilerini sistematik olarak topladılar.
Agenda, Ocak 2025’ten bu yana 62 ülkede 700’den fazla mağduru etkiledi ve öncelikli olarak Amerika Birleşik Devletleri, Fransa, Kanada ve Birleşik Krallık gibi gelişmiş pazarlardaki kuruluşları hedef aldı.
.webp)
Hizmet olarak fidye yazılımı operasyonu, operasyonel hassasiyet, veri kritikliği ve daha yüksek fidye ödeme olasılığı ile karakterize edilen imalat, teknoloji, finansal hizmetler ve sağlık sektörleri başta olmak üzere yüksek değerli sektörleri sistematik olarak hedef aldı.
Platformlar Arası Fidye Yazılımı Yürütme Mekanizması
Son fidye yazılımı dağıtımı, benzeri görülmemiş platformlar arası yürütme yeteneklerini sergiledi.
Tehdit aktörleri, Linux fidye yazılımı ikili dosyasını Windows sistemlerine güvenli bir şekilde aktarmak için WinSCP’yi kullandı ve aktarımı tamamlamadan önce yükü .filepart uzantısıyla masaüstüne yerleştirdi.
Yürütme yöntemi, Linux fidye yazılımı ikili dosyasını Windows platformlarında doğrudan çalıştırmak için Splashtop Remote’un yönetim hizmetini (SRManager.exe) kullandı: –
C:\Program Files (x86)\Splashtop\Splashtop Remote\Server\SRManager.exe
└── C:\Users\\Desktop\mmh_linux_x86-64 Linux fidye yazılımı ikili dosyasının analizi, kapsamlı yapılandırma yeteneklerini ve platforma özel hedeflemeyi ortaya çıkardı.
Yük, hata ayıklama modu, günlük tutma düzeyleri, yol özellikleri, beyaz liste yapılandırmaları ve şifreleme kontrol parametreleri dahil olmak üzere kapsamlı komut satırı parametrelerini uyguladı.
Yürütme için parola kimlik doğrulaması gerekiyordu ve beyaz listeye alınan işlemler, dosya uzantısı kara listeleri ve dışlanan yol dahil olmak üzere ayrıntılı yapılandırma çıktısı görüntüleniyordu.
Yapılandırma, /vmfs/, /dev/ ve /lib64/ gibi VMware ESXi yollarının kapsamlı bir şekilde hedeflendiğini ve kritik sistem dizinlerinin hariç tutulduğunu göstererek hipervizör odaklı dağıtım stratejilerini ortaya koydu.
Önceki varyantlar FreeBSD, VMkernel (ESXi) ve standart Linux dağıtımları için işletim sistemi algılamayı uygulayarak platforma özgü şifreleme davranışını mümkün kılıyordu.
Güncellenen örnekler, Nutanix AHV tespitini içeriyordu, hedeflemeyi hiper bütünleşik altyapı platformlarını içerecek şekilde genişletti ve tehdit aktörlerinin geleneksel VMware konuşlandırmalarının ötesinde modern kurumsal sanallaştırma ortamlarına uyum sağladığını gösterdi.
Bu alışılmadık yürütme yaklaşımı, geleneksel Windows odaklı güvenlik kontrollerini atladı; çünkü çoğu uç nokta algılama sistemi, Linux ikili dosyalarının Windows platformlarındaki yasal uzaktan yönetim araçları aracılığıyla yürütülmesini izleyecek veya önleyecek şekilde yapılandırılmamıştır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
