Hellcat olarak bilinen sofistike bir fidye yazılımı suşu, 2014’teki ilk görünüşünden bu yana siber güvenlik manzarasında müthiş bir tehdit olarak ortaya çıktı. Kötü amaçlı yazılım, özellikle devlet kurumları, eğitim kurumları ve enerji altyapısı da dahil olmak üzere kritik sektörleri hedefleyen yeteneklerini hızla geliştirmiştir.
Bu grup yalnızca verileri şifrelemez; Psikolojik taktikleri silahlandırıyorlar ve mağdurların operasyonları üzerindeki etkilerini en üst düzeye çıkarmak ve fidye ödemelerini artırmak için daha önce bilinmeyen güvenlik açıklarından yararlanıyorlar.
Fidye yazılımı, bir Hizmet Olarak Fidye Yazılımı (RAAS) modeli altında çalışır ve iştiraklerin geliştiricileriyle kar paylaşırken kötü amaçlı yazılımları dağıtmasına izin verir.
.png
)
Bu iş modeli, Hellcat’in küresel olarak çeşitli sektörlerde çoğalmasını hızlandırdı ve saldırılar sofistike olmaya devam etti.
Grup, fidye talepleri ücretsiz kalırsa, şifrelemeden önce çift gasp taktikleri, şifrelemeden önce hassas verileri ortadan kaldırır ve kamu açıklamasını tehdit eder.
Broadcom araştırmacıları, Hellcat’in gelişmiş sömürü yeteneklerini belirledi ve hedef ortamlarda ilk dayanak kazanmak için Atlassian Jira’da yakın zamanda bulunanlar da dahil olmak üzere sıfır gün güvenlik açıklarının başarılı bir şekilde kaldırılmasını not etti.
Analizleri, HellCat’in, çok aşamalı bir saldırı yaklaşımı yoluyla geleneksel güvenlik kontrollerini atlamak için dikkate değer bir yetenek gösterdiğini ve doğrudan bellekte kötü amaçlı kodları yürütmek için yansıtıcı kod yükleme teknikleri kullandığını ve dosya tabanlı güvenlik çözümleri tarafından etkili bir şekilde kaçındığını gösterdi.
Hellcat’in etkisi, çeşitli endüstrilerdeki birden fazla varlık arasında özellikle şiddetli olmuştur ve bu da onları küresel organizasyonlar için ciddi bir tehdit haline getirmiştir.
Güvenlik uzmanları, kritik altyapıya karşı giderek daha fazla hedeflenen saldırılar eğilimi gözlemlediler, bu da grubun taktiklerinin daha rafine hale geldiğini ve hedef seçimlerinin daha stratejik olduğunu düşündürmektedir.
Enfeksiyon zinciri ve kalıcılık mekanizmaları
Hellcat’in saldırı zinciri, kötü niyetli ekler içeren mızrak kimlik avı e-postaları yoluyla veya kamuya bakan uygulamalardan yararlanarak, genellikle sıfır gün güvenlik açıklarından yararlanarak başlar.
.webp)
Başarılı uzlaşma üzerine, saldırganlar, Windows kayıt defteri çalışma anahtarlarını değiştirerek kalıcılık oluşturan ve kötü amaçlı komut dosyasının kullanıcı girişinde otomatik olarak yürütülmesini sağlayarak kalıcılık oluşturan sofistike çok aşamalı bir PowerShell enfeksiyon zinciri kullanırlar.
Bu PowerShell komut dosyası daha sonra güvenlik araçlarını devre dışı bırakmak veya değiştirmek için AMSI bypass tekniklerini kullanırken sonraki yükleri indirmek için saldırgan kontrollü altyapıya bağlanır.
Son aşama, bir komut ve kontrol çerçevesi olan Sliverc2’nin, tehlikeye atılan ortama kalıcı uzaktan erişim sağlayan bir kabuk kodu yükü aracılığıyla dağıtılmasını içerir.
Yanal hareket için Hellcat, Netcat ve Netscan gibi “karada yaşamak” ikili dosyalarını meşru ağ aktivitesiyle harmanlamak için kullanır ve tespiti özellikle zorlaştırır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try 50 Request for Free