11 gün yayılan iyi koordine edilmiş bir siber müdahale, lockbit fidye yazılımlarının kurumsal bir ortamda konuşlandırılmasıyla sonuçlandı.
Windows Media Configuration yardımcı programı olarak poz veren kötü amaçlı bir dosyanın yürütülmesi ile başlayan saldırı, kobalt grevinden, gelişmiş kalıcılık mekanizmalarını, yanal hareketi, veri eksfiltrasyon araçlarını ve nihai fidye yazılımı yükünü kullanan sofistike bir oyun kitabı sergiledi.
Kobalt Grev Dağıtım
Saldırı Ocak 2024’te hedeflenen bir kimlik avı yemiyle başladı.
Kurban, kötü amaçlı bir dosya indirdi ve yürüttü (setup_wm.exe) Windows Media yapılandırma yardımcı programını taklit etmek.
Bu dosya, bir ilk komuta ve kontrol (C2) bağlantısı oluşturan, kovulma sonrası önde gelen bir tehdit aktör aracı olan bir Cobalt Strike Beacon için bir yükleyici görevi gördü.
30 dakika içinde, saldırganlar, alan denetleyicilerini tanımlamak ve tehlikeye atılan kullanıcının yüksek ayrıcalıklarından yararlanmak için keşif komutlarını dağıtarak dayanaklarını yükseltti.
Saldırganlar, etki alanı denetleyicisine iki proxy aracı, SystemBC ve Ghostsocks taktılar.
Ghostsocks Windows Defender tarafından tespit edilirken ve engellenirken, SystemBC operasyonel kaldı ve devam eden komut ve kontrol iletişimini sağladı.
Girişim boyunca sofistike kalıcılık teknikleri gözlenmiştir.
SystemBC ve Ghostsocks gibi kötü niyetli ikili dosyaları tetiklemek için planlanan görevler yaygın olarak konuşlandırıldı.
Ayrıca, kayıt defteri tabanlı çalışma tuşları, kullanıcı girişinde yüklerin otomatik olarak yürütülmesini sağladı.
Tespitten kaçınmak için rakipler, Windows savunmacı korumalarını devre dışı bırakmak için grup politikalarını manipüle etti ve kötü niyetli faaliyetleri meşru süreçlere karıştırmak için süreç enjeksiyon tekniklerini kullandı. WUAUCLT.exe.
Saldırganlar gelişmiş yanal hareket yetenekleri gösterdi. Uzak Masaüstü Protokolü (RDP), Windows Uzaktan Yönetimi (WINRM) ve SMB kullanarak, ağa yayılırlar, dosya sunucularına ve yedekleme sunucularına ikincil yükler kullanırlar.
Özellikle, veri açığa çıkması için RCLone gibi araçlardan yararlandılar. FTP sunucularını eksfiltrasyon için kullanma girişimlerine rağmen, rakipler mega.io’ya dönerek 16 saatten fazla büyük ölçekli veri transferleri elde etti.
Saldırganlar ayrıca depolanmış kimlik bilgilerini ve yürütülen komut dosyalarını içeren hassas belgelere de eriştiler. Veeam-Get-Creds.ps1 Yedekleme yazılım şifrelerini çıkarmak için.
Active Directory ortamını haritalamak ve yüksek değerli hedefleri tanımlamak için emniyet kemeri ve SharpView gibi keşif araçları kullandılar.
Lockbit Fidye Yazılımı Dağıtım
15 saatlik operasyonel bir durgunluktan sonra, saldırganlar odak noktasını hedeflerine kaydırdılar-ransom yazılımı dağıtım.
On birinci günde, bir yedekleme sunucusunda Lockbit Fidye yazılımı ikilisini hazırladılar ve tüm ağ bağlantılı Windows ana bilgisayarlarında yükü yaymak için toplu komut dosyalarını yürüttüler.
Psexec ve WMI gibi araçlar fidye yazılımlarını dağıtmak ve yürütmek için kullanılırken, ek komut dosyaları Windows Defender gibi güvenlik mekanizmalarını devre dışı bıraktı.
DFIR raporuna göre, dağıtım, hedeflenen ana bilgisayarların iki saat içinde tam olarak şifrelemesini sağladı.
Etkilenen sistemler, kurbanlara müzakereleri başlatmalarını söyleyen Lockbit’ten bir fidye notu sergiledi.
Bu operasyon, saldırganların veri pespiltrasyonunu fidye yazılımı dağıtımıyla entegre ettikleri ve mağdurlar üzerindeki baskıyı artırdıkları fidye yazılımı kampanyalarının gelişen sofistike olmasını vurgulamaktadır.
Bu saldırıda uzlaşmanın (IOCS) temel göstergeleri şunlardır:
- C2 Alanları:
compdatasystems.com–retailadvertisingservices.com - Proxy Araçları: Systembc ve Ghostsocks İkili
- Veri Sunum Araçları: Mega.io ve FTP sunucularını hedefleyen RCLone
Kobalt grevinin koordineli kullanımı, kalıcılık mekanizmaları ve ileri yan hareket taktikleri, katmanlı siber güvenlik savunmalarının gerekliliğinin altını çizmektedir.
Kuruluşlara, bu tür yüksek etkili olayları azaltmak için düzenli yama ve olay tepkisi simülasyonlarının yanı sıra planlanan görevlerin, kayıt defteri değişikliklerinin ve ağ trafiğinin aktif olarak izlenmesini uygulamaları tavsiye edilir.
Are you from SOC/DFIR Teams? - Analyse Malware Files & Links with ANY.RUN Sandox -> Try for Free