Interlock Fidye Yazılımı, kötü amaçlı tarayıcı güncellemeleri sunmak için meşru web siteleri aracılığıyla çok aşamalı saldırı kullanır.

   Nisan 16, 2025  Posted in GBHackers


Interlock Fidye yazılımı giriş seti, Kuzey Amerika ve Avrupa’daki operasyonlarını sofistike tekniklerle artırdı.

Hizmet olarak tipik fidye yazılımı (RAAS) kategorisine girmeyen Interlock, öncelikle büyük oyun avına ve çift gasp kampanyalarına odaklanarak bağımsız olarak çalışır.

Bu grubun faaliyetleri, Sekoia Tehdit Tespit ve Araştırma (TDR) ve diğerleri gibi siber güvenlik firmaları tarafından yakından izlendi ve gelişen taktiklerini ve araçlarını ortaya çıkardı.

– Reklamcılık –
Google HaberleriGoogle Haberleri

Saldırı mekanizması ve yürütme

Interlock, aldatıcı tarayıcı güncelleme sayfalarını barındırmak için meşru web sitelerinden ödün vererek saldırısını başlatarak kullanıcıların bu platformlarda sahip oldukları güvenden yararlanıyor.

Kilitleme Fidye Yazılımı Kilitleme Fidye Yazılımı
Interlock’un DLS ekran görüntüsü

Saldırı nasıl ortaya çıkıyor:

1. Sahte güncelleyici dağıtım:

    Fidye yazılımının başlangıç ​​erişim vektörü, tehlikeye atılan web sitelerinde barındırılan sahte bir tarayıcı güncellemesidir.

    Bu güncellemeler meşru Google Chrome veya Microsoft Edge yükleyicileri olarak görünür, ancak aslında Pyinstaller dosyalarıdır. Bir kullanıcı bu güncellemeyi yürüttüğünde:

    • Meşru bir yükleyiciyi indirir ve çalıştırır.
    • Eşzamanlı olarak, arka kapı görevi gören bir PowerShelcl betiği başlatır.

    2. Merkez arka kapısı:

    Bu komut dosyası, komut ve kontrol (C2) sunucularıyla iletişim kurmak için sürekli olarak HTTP isteklerini yürüterek bir döngüde çalışır. Dayanıklılık için tasarlanmıştır,:

    • Kalıcılık için C2 sunucusu ile sürekli bir iletişim döngüsü.
    • Kullanıcı bağlamı, sistem detayları ve daha fazlası dahil olmak üzere sistem bilgilerinin toplanması, ardından bu verileri saldırgana iletin.

    3. Komut yürütme:

    C2 sunucusu aşağıdakileri içeren çeşitli komutlar yayınlayabilir:

    • Arka kapıyı sonlandırma.
    • Keylogger veya kimlik bilgisi stealer (örneğin Lummastealer, Berserkstealer) gibi ek kötü amaçlı yazılımlar dağıtmak.

      Dayanıklılık için etki alanı ve IP kümelenmesi

      Rapora göre, Interlock’un operatörleri altyapılarının esnekliğini korumak için bir IP adresi kümeleme stratejisi kullanıyor:

      Küme kompozisyonu

      Her küme genellikle şunları içerir:

      • Bitlaunch’tan bir IP, kripto para birimi işlemlerine izin verir.
      • Biri Hetzner Online GmbH, sağlam barındırma hizmetleri ile bilinir.
      • Çeşitli otonom sistemlerden üçte biri bozulma çabalarını karmaşıklaştırmak için.

      İlk Erişim için ClickFix Tekniği

      Ocak 2025 civarında, Interlock ClickFix tekniğini benimsedi:

      • Aldatıcı istemler: Mağdurlar, sahte captcha doğrulamaları veya sistem istemleri aracılığıyla kötü amaçlı PowerShell komutlarını manuel olarak yürütmeye ikna edilir.
      • Sahte yükleyici dağıtımı: Bu teknik sahte bir yükleyici yükünü dağıtmak için kullanıldı, ancak kullanımı Şubat 2025’e kadar terk edilmiş gibi görünüyordu.
      Kilitleme Fidye Yazılımı Kilitleme Fidye Yazılımı
      Sahte Cloudflare Captcha, kullanıcılardan bir web sitesine erişmek için bir komut yürütmelerini istiyor

      Kilit tarayıcı güncellemelerini kullanmaktan ClickFix gibi sosyal mühendislik tekniklerini kullanmaya kadar Interlock’un taktiklerinin sofistike ve evrimi, uyarlanabilirliğini ve daha fazla büyüme potansiyelini gösterir.

      Yüksek değerli hedeflere ve geleneksel ağ güvenliğinden kaçınma yeteneğine odaklanarak, interlock önemli bir tehdit olmaya devam etmektedir.

      Bu fidye yazılımı grubunun dinamik stratejilerine karşı koymak için siber güvenlik önlemleri sürekli olarak güncellenmelidir.

      Uzlaşma Göstergeleri (IOC)

      Aşağıdaki tabloda Interlock faaliyetleriyle ilişkili IOC’ler listelenmektedir:

      Kategori Gösterge Türü Göstergeler
      Sahte güncelleyici Sha-256 576D07CC8919C68914BF08663E0AFD00D9F9FBF5263B5CCCBDDED5D373905A296, f962e15c6efebb3c29fe399bb16806042b616affdd83f72570c979184ec55c,… (ek karmalar)
      ClickFix PowerShell Yükleyicileri Sha-256 5C697162527A468A52C9E7B7DC3257dae4ae5142db625753969d47f1db533e, EB587B2603DFC14B420865BB862FC905CB85FE7B4B5A781A19929FC2DA88EB34,… (Ek Hashes)
      Kilitli sıçan Sha-256 1105A3050E6C842FB9411D4F21FD6FDB119861C15F7743E244180A4E64B19B83, 299A8EF490076664675E3B52D6767BF89DDFA6ACCF291818C537A600A96290D2,… (ek karmalar)
      Anahtarlayıcı Sha-256 5cbc2ae758043bb5864c28f32136e9cada50a8dc36c69670ddef0a8aa9757d8, df41085a8aa9757d8, df4a03db08ad910b6ef5734141414141414141f5fcdc8fee7Ab1b6ef5fcdc8fee7Ab1b6eF5fcdc8fee7eB1b6ef5 … (Ek karmalar)
      Berserkstealer Sha-256 Eb1cdf3118271d754cf0a1777652f83d11dc1f9a2b51e81e37602c43b47692 ,, A5623b6a6f289bb328e4007385bbb1659407a9e82590a0faaf3625a2e782cf
      Büyülü Sha-256 4672Fe8b3b71be834825a2477d956e0f7f7d2016c194f1538139d21703fd6e
      Windows Interlock Fidye Yazılımı Sha-256 4A9759FF582316112D9221D0E824AF7896F6CA40CD3948EC129533787A3E9, 33DC991E61BA714812AA536821B073E4274951A1E4A9BC68F71A802D034F4FB9,… (ek karmalar)
      Fidye yazılımı tarafından kullanılan küçük otomobil dll Sha-256 C9920E995FBC98CD3883EF4C4520300D5E82BAB5D2A5C781E9E9FE694A4A43E82F
      Linux Interlock Fidye Yazılımı Sha-256 28C3C50D115D2B8FFC7BA0A8DE9572FBE307907AAE3A486AABD8C0266E9426F
      Veri sızıntı sitesi Url http: // ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid[.]soğan
      Backdoor C2 – Küme 1 IP adresi 23.95.182[.]59, 195.201.21[.]34, 159.223.46[.]184
      Backdoor C2 – Küme 2 IP adresi 23.227.203[.]162, 65.109.226[.]176, 65.38.120[.]47
      Backdoor C2 – Küme 3 IP adresi 216.245.184[.]181, 212.237.217[.]182, 168.119.96[.]41
      Backdoor C2 – Küme 4 IP adresi 216.245.184[.]170, 65.108.80[.]58, 84.200.24[.]41
      Backdoor C2 – Küme 5 IP adresi 206.206.123[.]65, 49.12.102[.]206, 193.149.180[.]158
      Backdoor C2 – Küme 6 IP adresi 85.239.52[.]252, 5.252.177[.]228, 80.87.206[.]189
      Backdoor C2 – Küme 7 IP adresi 65.108.80[.]58, 212.104.133[.]72, 140.82.14[.]117
      Backdoor C2 – Küme 8 IP adresi 64.94.84[.]85, 49.12.69[.]80, 96.62.214[.]11
      Backdoor C2 – Küme 9 IP adresi 177.136.225[.]153, 188.34.195[.]44, 45.61.136[.]202
      Uzlaşmış url’ler Url http: // topsporTracing[.]com/wp-az, http: // topportracing[.]com/AZ10, https: // airBluefootgear[.]com/wp-eCluges/Images/xits.php,… (Ek URL’ler)
      ClickFix URL’leri Url https: // microsoft-msteams[.]com/ek-check.html, https: // microstteams[.]com/ek-check.html, https: // adveçscaner[.]com/ek-check.html,… (ek URL’ler)
      PowerShell Backdoor C2 Alanları Url Buzdolabı-Cheers-Çizici-Ferrari[.]Trycloudflare.com, Analytical-Russell-Cincinnati-Settings[.]Trycloudflare.com,… (Ek URL’ler)

      Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link