Interlock Fidye yazılımı giriş seti, Kuzey Amerika ve Avrupa’daki operasyonlarını sofistike tekniklerle artırdı.
Hizmet olarak tipik fidye yazılımı (RAAS) kategorisine girmeyen Interlock, öncelikle büyük oyun avına ve çift gasp kampanyalarına odaklanarak bağımsız olarak çalışır.
Bu grubun faaliyetleri, Sekoia Tehdit Tespit ve Araştırma (TDR) ve diğerleri gibi siber güvenlik firmaları tarafından yakından izlendi ve gelişen taktiklerini ve araçlarını ortaya çıkardı.
.png
)
Saldırı mekanizması ve yürütme
Interlock, aldatıcı tarayıcı güncelleme sayfalarını barındırmak için meşru web sitelerinden ödün vererek saldırısını başlatarak kullanıcıların bu platformlarda sahip oldukları güvenden yararlanıyor.
Saldırı nasıl ortaya çıkıyor:
1. Sahte güncelleyici dağıtım:
Fidye yazılımının başlangıç erişim vektörü, tehlikeye atılan web sitelerinde barındırılan sahte bir tarayıcı güncellemesidir.
Bu güncellemeler meşru Google Chrome veya Microsoft Edge yükleyicileri olarak görünür, ancak aslında Pyinstaller dosyalarıdır. Bir kullanıcı bu güncellemeyi yürüttüğünde:
- Meşru bir yükleyiciyi indirir ve çalıştırır.
- Eşzamanlı olarak, arka kapı görevi gören bir PowerShelcl betiği başlatır.
2. Merkez arka kapısı:
Bu komut dosyası, komut ve kontrol (C2) sunucularıyla iletişim kurmak için sürekli olarak HTTP isteklerini yürüterek bir döngüde çalışır. Dayanıklılık için tasarlanmıştır,:
- Kalıcılık için C2 sunucusu ile sürekli bir iletişim döngüsü.
- Kullanıcı bağlamı, sistem detayları ve daha fazlası dahil olmak üzere sistem bilgilerinin toplanması, ardından bu verileri saldırgana iletin.
3. Komut yürütme:
C2 sunucusu aşağıdakileri içeren çeşitli komutlar yayınlayabilir:
- Arka kapıyı sonlandırma.
- Keylogger veya kimlik bilgisi stealer (örneğin Lummastealer, Berserkstealer) gibi ek kötü amaçlı yazılımlar dağıtmak.
Dayanıklılık için etki alanı ve IP kümelenmesi
Rapora göre, Interlock’un operatörleri altyapılarının esnekliğini korumak için bir IP adresi kümeleme stratejisi kullanıyor:
Küme kompozisyonu
Her küme genellikle şunları içerir:
- Bitlaunch’tan bir IP, kripto para birimi işlemlerine izin verir.
- Biri Hetzner Online GmbH, sağlam barındırma hizmetleri ile bilinir.
- Çeşitli otonom sistemlerden üçte biri bozulma çabalarını karmaşıklaştırmak için.
İlk Erişim için ClickFix Tekniği
Ocak 2025 civarında, Interlock ClickFix tekniğini benimsedi:
- Aldatıcı istemler: Mağdurlar, sahte captcha doğrulamaları veya sistem istemleri aracılığıyla kötü amaçlı PowerShell komutlarını manuel olarak yürütmeye ikna edilir.
- Sahte yükleyici dağıtımı: Bu teknik sahte bir yükleyici yükünü dağıtmak için kullanıldı, ancak kullanımı Şubat 2025’e kadar terk edilmiş gibi görünüyordu.
Kilit tarayıcı güncellemelerini kullanmaktan ClickFix gibi sosyal mühendislik tekniklerini kullanmaya kadar Interlock’un taktiklerinin sofistike ve evrimi, uyarlanabilirliğini ve daha fazla büyüme potansiyelini gösterir.
Yüksek değerli hedeflere ve geleneksel ağ güvenliğinden kaçınma yeteneğine odaklanarak, interlock önemli bir tehdit olmaya devam etmektedir.
Bu fidye yazılımı grubunun dinamik stratejilerine karşı koymak için siber güvenlik önlemleri sürekli olarak güncellenmelidir.
Uzlaşma Göstergeleri (IOC)
Aşağıdaki tabloda Interlock faaliyetleriyle ilişkili IOC’ler listelenmektedir:
| Kategori | Gösterge Türü | Göstergeler |
|---|---|---|
| Sahte güncelleyici | Sha-256 | 576D07CC8919C68914BF08663E0AFD00D9F9FBF5263B5CCCBDDED5D373905A296, f962e15c6efebb3c29fe399bb16806042b616affdd83f72570c979184ec55c,… (ek karmalar) |
| ClickFix PowerShell Yükleyicileri | Sha-256 | 5C697162527A468A52C9E7B7DC3257dae4ae5142db625753969d47f1db533e, EB587B2603DFC14B420865BB862FC905CB85FE7B4B5A781A19929FC2DA88EB34,… (Ek Hashes) |
| Kilitli sıçan | Sha-256 | 1105A3050E6C842FB9411D4F21FD6FDB119861C15F7743E244180A4E64B19B83, 299A8EF490076664675E3B52D6767BF89DDFA6ACCF291818C537A600A96290D2,… (ek karmalar) |
| Anahtarlayıcı | Sha-256 | 5cbc2ae758043bb5864c28f32136e9cada50a8dc36c69670ddef0a8aa9757d8, df41085a8aa9757d8, df4a03db08ad910b6ef5734141414141414141f5fcdc8fee7Ab1b6ef5fcdc8fee7Ab1b6eF5fcdc8fee7eB1b6ef5 … (Ek karmalar) |
| Berserkstealer | Sha-256 | Eb1cdf3118271d754cf0a1777652f83d11dc1f9a2b51e81e37602c43b47692 ,, A5623b6a6f289bb328e4007385bbb1659407a9e82590a0faaf3625a2e782cf |
| Büyülü | Sha-256 | 4672Fe8b3b71be834825a2477d956e0f7f7d2016c194f1538139d21703fd6e |
| Windows Interlock Fidye Yazılımı | Sha-256 | 4A9759FF582316112D9221D0E824AF7896F6CA40CD3948EC129533787A3E9, 33DC991E61BA714812AA536821B073E4274951A1E4A9BC68F71A802D034F4FB9,… (ek karmalar) |
| Fidye yazılımı tarafından kullanılan küçük otomobil dll | Sha-256 | C9920E995FBC98CD3883EF4C4520300D5E82BAB5D2A5C781E9E9FE694A4A43E82F |
| Linux Interlock Fidye Yazılımı | Sha-256 | 28C3C50D115D2B8FFC7BA0A8DE9572FBE307907AAE3A486AABD8C0266E9426F |
| Veri sızıntı sitesi | Url | http: // ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid[.]soğan |
| Backdoor C2 – Küme 1 | IP adresi | 23.95.182[.]59, 195.201.21[.]34, 159.223.46[.]184 |
| Backdoor C2 – Küme 2 | IP adresi | 23.227.203[.]162, 65.109.226[.]176, 65.38.120[.]47 |
| Backdoor C2 – Küme 3 | IP adresi | 216.245.184[.]181, 212.237.217[.]182, 168.119.96[.]41 |
| Backdoor C2 – Küme 4 | IP adresi | 216.245.184[.]170, 65.108.80[.]58, 84.200.24[.]41 |
| Backdoor C2 – Küme 5 | IP adresi | 206.206.123[.]65, 49.12.102[.]206, 193.149.180[.]158 |
| Backdoor C2 – Küme 6 | IP adresi | 85.239.52[.]252, 5.252.177[.]228, 80.87.206[.]189 |
| Backdoor C2 – Küme 7 | IP adresi | 65.108.80[.]58, 212.104.133[.]72, 140.82.14[.]117 |
| Backdoor C2 – Küme 8 | IP adresi | 64.94.84[.]85, 49.12.69[.]80, 96.62.214[.]11 |
| Backdoor C2 – Küme 9 | IP adresi | 177.136.225[.]153, 188.34.195[.]44, 45.61.136[.]202 |
| Uzlaşmış url’ler | Url | http: // topsporTracing[.]com/wp-az, http: // topportracing[.]com/AZ10, https: // airBluefootgear[.]com/wp-eCluges/Images/xits.php,… (Ek URL’ler) |
| ClickFix URL’leri | Url | https: // microsoft-msteams[.]com/ek-check.html, https: // microstteams[.]com/ek-check.html, https: // adveçscaner[.]com/ek-check.html,… (ek URL’ler) |
| PowerShell Backdoor C2 Alanları | Url | Buzdolabı-Cheers-Çizici-Ferrari[.]Trycloudflare.com, Analytical-Russell-Cincinnati-Settings[.]Trycloudflare.com,… (Ek URL’ler) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!