Fortiguard Labs araştırmacıları, 2019’un sonlarından beri aktif olan H2Miner Botnet’in operasyonlarını Linux, Windows ve konteyner ortamlarını aynı anda hedeflemek için genişlettiği sofistike bir kriptominasyon kampanyası ortaya çıkardılar.
Kampanya, platformlar arası kripto para madenciliği saldırılarında önemli bir evrimi temsil ediyor ve tehdit aktörleri, uzlaşmış sistemlerden finansal kazanımları en üst düzeye çıkarmak için güncellenmiş senaryolardan ve altyapı kullanıyor.
Soruşturma, H2Miner operatörlerinin 2020’de belgelenen önceki kampanyalardan temel işlevleri korurken Arsenal’lerini yeni dağıtım URL’leri ile güncellediğini ortaya koydu.
Kötü amaçlı yazılım, güvenlik savunmalarını devre dışı bırakmak ve kinsing kötü amaçlı yazılımları dağıtmak için kabuk komut dosyalarına büyük ölçüde güvenmeye devam ediyor, ancak şimdi buluta özgü savunmalar ve kapsayıcı ortamlar hakkında daha fazla farkındalığı gösteriyor.
Özellikle, güncellenen komut dosyaları özellikle Alibaba Bulut Güvenlik Merkezi aracılarını ve Docker kapsayıcıları içinde çalışan işlemleri hedefler ve operatörlerin modern bulut altyapısına uyumunu gösterir.
Kampanya altyapısı
Tehdit aktörleri, saldırı yüzeylerini en üst düzeye çıkarmak için farklı işletim sistemlerinde birden fazla ticari araca ev sahipliği yapan çeşitli bir altyapı oluşturdu.
Kampanya, Linux sistemlerine kinsing konuşlandırırken, Windows ortamları Lumma Stealer, DCRAT, Cobalt Strike, Amadey, Rustystealer ve Screenconnect gibi daha geniş bir tehdit ile karşı karşıya.
Konteyner ortamları özellikle XMRIG madencileri ile hedeflenir ve operatörlerin kaynak kaçırma konusundaki kapsamlı yaklaşımını gösterir.
Altyapı, Hostglobal Plus VPS, Aeza International VPS ve Hangzhou Alibaba Reklam A.Ş.
Bu dağıtılmış yaklaşım, operatörlerin, tehlikeye atılan sistemlere sürekli erişim sağlarken yayından kaldırma çabalarına karşı dayanıklılığı korumasına yardımcı olur.
Kampanya ayrıca, fidye yazılımı duvar kağıtlarını indirmek, algılama ve engellemeyi daha zor hale getirmek için Bitbucket ve KrakenFiles gibi meşru hizmetlerden yararlanıyor.
AI tarafından üretilen fidye yazılımı varyantı ortaya çıkıyor
Belki de bu kampanyadaki en ilgi çekici gelişme, araştırmacıların yapay zeka kullanılarak şüphelendiği LCryx fidye yazılımının yeni bir çeşidi olan LCrypt0RX’in ortaya çıkmasıdır.
Fidye yazılımı, işlev çoğaltma, yanlış kalıcılık mekanizmaları, kusurlu şifreleme mantığı ve gereksiz nesne oluşturma dahil olmak üzere AI tarafından oluşturulan kodu gösteren çok sayıda özellik sergiler.
Özel yapay zeka algılama araçları kullanılarak analiz, otomatik kod üretim hipotezini destekleyerek% 85-90 aralığında güven skorları döndürdü.
LCrypt0rx varyantı, doğru doğrulama olmadan otomatik üretim öneren birkaç teknik kusur gösterir.
Fidye yazılımı, Winlogon ve görüntü dosyası yürütme seçenekleri aracılığıyla kalıcılık oluşturmaya çalışır, ancak uygunsuz uygulama nedeniyle başarısız olur.
Şifreleme rutini, 8.192 karakterli bir ana anahtarla basit XOR kodlaması kullanır, ancak uygun anahtar yönetiminden yoksundur, bu da temel kriptanaliz aracılığıyla iyileşmeyi nispeten basit hale getirir.
Kötü amaçlı yazılım ayrıca, not defterinde şifreli dosyaları açmaya çalışmak ve farklı Windows sürümlerinde var olmayan klasör yollarını hedeflemek gibi mantıksız davranışlar içerir.
Teknik eksikliklerine rağmen, LCRYPT0RX etkili bir sistem bozucu olarak hizmet eder, kritik Windows yardımcı programlarını devre dışı bırakır, kullanıcının sistem araçlarına erişimini önlemek için kayıt defteri anahtarlarını değiştirir ve sistemleri sistemsiz hale getirmek için ana önyükleme kaydının üzerine yazılır.
Fidye yazılımı ayrıca, daha geniş H2Miner kampanyası için etkili bir dağıtım mekanizması görevi gören madenciler ve bilgi çalıcılar da dahil olmak üzere ek yükleri indirir ve yürütür.
H2Miner ve LCrypt0RX operasyonlarının yakınsaması, büyük dil modellerine ve önceden oluşturulmuş araçlara erişimin tehdit aktörlerine giriş engelini önemli ölçüde düşürdüğü siber suç metalinde bir eğilimi temsil eder.
Kuruluşlar, bu gelişen çok platform saldırılarına karşı savunmak için ağ izleme, uç nokta koruması ve kullanıcı eğitimi de dahil olmak üzere kapsamlı güvenlik önlemleri uygulamalıdır.
Uzlaşma göstergeleri
| Tip | Gösterge | Tanım |
|---|---|---|
| IP adresleri | 78.153.140.66 | Hostglobal Plus VPS |
| 80.64.16.241 | Lir Limited ISS | |
| 89.208.104.175 | Aeza Uluslararası VPS | |
| 47.97.113.36 | Kobalt Strike Sunucusu | |
| 176.65.137.203 | Dolphin Host VPS | |
| 185.156.72.96 | Amadey C2 Sunucusu | |
| Dosya | 06A482A6096E8FF4499A69A9C150E92 | Lcrypt0rx.vbs |
| 1BF1EFEDEDF52C0ED50941B10A2F468 | Ce.sh senaryosu | |
| 57F0FDEC4D919DB0BD4576DC84AEC752 | Xmig Madenleri | |
| 9E4F149DAE1891F1D22A2CEA4F68432E | Sahte google kaynakları ile Truva atı | |
| Cüzdan | 4ask4rhuyll7sxe9cpyBixb82ofekjg2skiv4mktcbzwhhlqxvvfgr9jzvr5gp6sa1q2p8sahc | Monero Cüzdan (H2Miner) |
| 89UomhtsrpAJTVMJBBVY1CTD38POMPFNW5Z4SNIL2IZCLQYGBKEGD96TCBJTZQUI6KAL5EHEHEEHE | Monero cüzdanı |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now