Siber güvenlik araştırmacıları, siber saldırıların çeşitli aşamaları için tasarlanmış kapsamlı bir araç seti ortaya çıkaran kapsamlı bir hacker araç seti keşfettiler.
Açık bir dizinde bulunan araç seti, tehdit aktörlerinin tehlikeye atılmış sistemlere erişim sağlamak ve bu erişimi sürdürmek için kullandıkları gelişmiş yöntemleri sergiliyor.
Aralık 2023’ün başlarında yapılan keşif, hem Windows hem de Linux sistemlerini hedef alan bir dizi toplu komut dosyası ve kötü amaçlı yazılım ortaya çıkardı. Bu araçlar, bilgisayar korsanlarının başlangıçtaki sistem güvenliğini ihlal etmekten uzun vadeli kontrol ve veri sızdırmaya kadar çeşitli kötü amaçlı etkinlikler gerçekleştirme yeteneğini gösteriyor.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Ortaya çıkarılan en dikkat çekici araçlar arasında, iki iyi bilinen komuta ve kontrol (C2) çerçevesi olan PoshC2 ve Sliver yer aldı. Genellikle penetrasyon test uzmanları ve kırmızı takımlar tarafından kullanılan bu açık kaynaklı araçlar, kötü niyetli aktörler tarafından kötü niyetli amaçlar için yeniden kullanıldı. Bu çerçeveler, saldırganların tehlikeye atılmış sistemlere kalıcı uzaktan erişim sağlama niyetini gösteriyor.
Araç takımı ayrıca savunma kaçınma ve sistem manipülasyonu için tasarlanmış birkaç özel toplu komut dosyası içeriyordu. Atera_del.bat ve atera_del2.bat gibi komut dosyaları, Atera uzaktan yönetim ajanlarını kaldırmak ve meşru yönetim araçlarının izlerini ortadan kaldırmak için tasarlanmıştı.
Backup.bat ve delbackup.bat gibi diğer betikler, fidye yazılımı saldırılarında veri kurtarma çabalarını engellemek için kullanılan yaygın bir taktik olan sistem yedeklerini ve gölge kopyalarını silmeye odaklanıyordu.
DFIR Raporu Araştırmacılar, Windows olay günlüklerini silebilen ve Uzak Masaüstü Protokolü (RDP) kullanımına dair kanıtları ortadan kaldırabilen bir betik olan clearlog.bat’ın varlığını kaydetti. Bu, saldırganların izlerini örtme ve tespit edilmekten kaçınma konusundaki vurgusunu vurgular.
Araç setinde daha özel araçlar da vardı:
- cmd.cmd: Kullanıcı Hesabı Denetimini devre dışı bırakır ve kayıt defteri ayarlarını değiştirir
- def1.bat ve defendermalwar.bat: Windows Defender’ı devre dışı bırakın ve Malwarebytes’ı kaldırın
- disable.bat ve hyp.bat: Çeşitli kritik servisleri durdurur ve devre dışı bırakır
- LOGOFALL.bat ve LOGOFALL1.bat: Kullanıcı oturumlarını kapat
- NG1.bat ve NG2.bat: Proxy amaçları için Ngrok kimlik doğrulama belirteçlerini içerir
- Ngrok.exe: Proxy hizmetleri için kötüye kullanılan meşru bir araç
- Posh_v2_dropper_x64.exe: Windows için PoshC2 dropper
- native_dropper: PoshC2 dropper’ın Linux sürümü
- py_dropper.sh: PoshC2 için bir Python dropper’ı çalıştırmak için Bash betiği
- VmManagedSetup.exe: SystemBC kötü amaçlı yazılım yürütülebilir dosyası
- WILD_PRIDE.exe: Sliver C2 framework yürütülebilir dosyası
Bu araç setinin keşfi, modern siber suçluların kullandığı yöntemler ve araçlar hakkında değerli içgörüler sağlar. Sağlam siber güvenlik önlemlerinin önemini ve kuruluşların gelişen tehditlere karşı uyanık kalma ihtiyacını vurgular.
Siber güvenlik uzmanları, kuruluşlara bu tür karmaşık saldırı araçlarına karşı korunmak için düzenli sistem güncellemeleri, çalışan eğitimi ve gelişmiş tehdit tespit sistemleri gibi kapsamlı güvenlik stratejileri uygulamalarını tavsiye ediyor.
Araştırmacılar, sunulan araçlara dayanarak bu sunucuların muhtemelen fidye yazılımı saldırı etkinliğinde kullanıldığına inanıyor. Hizmetleri durdurmaya, yedekleri ve gölge kopyaları silmeye ve antivirüs yazılımlarını devre dışı bırakmaya veya kaldırmaya çalışan birçok betik buldular. IoC’lerin tam listesini burada bulabilirsiniz.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access