Bilgisayar korsanları, gelişen güvenlik önlemlerine uyum sağlamak, savunmaları aşmak ve yeni keşfedilen güvenlik açıklarından yararlanmak için araçlarını sürekli olarak günceller ve yenilerini ekler.
Siber güvenlik gelişmelerinin önünde olmak onlar için son derece önemlidir, çünkü bunu yapmak onların başarılı siber saldırılar gerçekleştirme yeteneklerini korumalarına yardımcı olur.
DFIR Raporu’ndaki siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin çeşitli siber saldırılarda kullandıkları kapsamlı bir araç seti keşfettikleri araç setini açıkladılar.
Teknik Analiz
Aralık 2023’te, bir tehdit aktörü tarafından kullanılan gelişmiş bir araç setini ortaya çıkaran 94.198.53.143 adresinde açık bir dizin keşfedildi.
Bu IP adresi Eylül 2023’te aktif hale geldi ve çoğunlukla PoshC2 komuta ve kontrol faaliyetleriyle ilişkilendirildi.
Aktörler, Atera ajanlarını kaldırma, yedeklemeleri silme, Windows Defender’ı devre dışı bırakma veya devre dışı bırakma araçları da dahil olmak üzere Windows ve Linux sistemlerini hedef alan çeşitli toplu komut dosyalarının yanı sıra kötü amaçlı yazılımlar kullandılar.
.webp)
Daha ileri araştırmalar, aynı zararlı içeriği barındıran başka bir IP’nin (185.234.216.64) olduğunu ortaya çıkardı. Her iki Rus IP’si de Ağustos 2024’e kadar düzensiz aktivite gösterdi ve ikincisi o zamana kadar erişilebilir kaldı.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Bu aktörün varlığında, fidye yazılımı faaliyetleriyle ilgili olarak hizmetleri devre dışı bırakan, yedek kopyaları kaldıran veya anti-virüs programlarını etkisiz hale getiren komut dosyaları görülebilir.
Bu tehdit aktörü tarafından PoshC2 ve Sliver gibi çeşitli C2 çerçeveleri kullanılmış olması, onun iyi kaynaklara sahip ve ısrarcı bir saldırgan olduğunu göstermektedir.
.webp)
Aşağıda açık dizindeki tüm farklı araçlardan ve betiklerden bahsettik:
- out_del.one/out_del2.one
- yedekleme.bat
- clearlog.bat
- cmd.cmd
- def1.bat
- defansmalwar.bat
- yedekleme.bat
- devre dışı.bat
- hip.bat
- LOGOFALL.bat
- LOGOFALL1.bat
- NG1.bat
- NG2.bat
- Ngrok.exe
- ON.bat
- Posh_v2_dropper_x64.exe
- yerel_bırakıcı
- poshc2+kullanıcı.txt
- py_dropper.sh
- Kurulum_uncnow.msi
- gölge.bat/shadowGuru.bat
- VmYönetilenKurulum.exe
- VAHŞİ_GURUR.exe
- z.bat
- z1.bat
Bu açık dizinlerin açığa çıkarılması ve analiz edilmesi, Rusya’da kalıcı ve karmaşık bir tehdit aktörünün varlığını ortaya çıkarıyor.
Çok sayıda komuta ve kontrol platformunu ve çok çeşitli sistem ihlali ve kaçınma araçlarını sürekli olarak istismar etmeleri, küresel çaptaki kuruluşlar için büyük bir endişe kaynağıdır.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- PoshC2 ve Sliver gibi C2 çerçeveleri için güçlü ve etkili saldırı tespiti uygulayın.
- Silinmeyi önlemek için düzenli olarak çevrimdışı yedekler oluşturun ve güvenli bir şekilde saklayın.
- Anti-virüs ve anti-malware programlarınızı en son güncellemelerle güncel tutun ve etkinleştirin.
- Yönetim ayrıcalıklarını sınırlayın ve yetkisiz erişime karşı hesap denetimi yapın.
- Düzenli olarak zafiyet analizi ve penetrasyon testi gerçekleştirin.
- Çalışanlarınızın siber tehditler arasında kimlik avı ve sosyal mühendislik gibi tehditlerin farkında olduğundan emin olun.
- Hızlı ihlal eylemi için olay müdahale programını hazırlayın ve gözden geçirin.
- Zamanında tehdit bilgisi edinmek için başkalarıyla ortaklık kurun.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download