İngiltere merkezli iki üniversitede, son iki ay içinde nodesnake olarak adlandırılan sofistike bir uzaktan erişim Truva (sıçan) olarak kurban oldu.
Quorum Cyber Tehdit İstihbarat (QCTI) Team Report tarafından yapılan analizlere göre, muhtemelen fidye yazılım grubu interlock tarafından konuşlandırılan bu kötü amaçlı yazılım, kalıcı erişim ve ağ infiltrasyonu için gelişmiş yetenekleri sergiliyor.
Ortaya çıkan tehdit yüksek öğrenim sektörünü hedefler
İki olay arasındaki zamanlama ve paylaşılan kod öğeleri, aynı tehdit oyuncusu tarafından özellikle yüksek öğrenim sektörüne odaklanarak koordineli bir kampanya önermektedir.
.png
)
Bu gelişme, geleneksel güvenlik önlemlerini atlamak için gizli araçlardan yararlanarak, değerli verilerle kuruluşları hedefleyen siber suçluların daha geniş bir eğilimini işaret ediyor.
JavaScript’te kodlanmış ve Nodejs aracılığıyla yürütülen Nodesnake, uzun vadeli kalıcılık, sistem keşif ve uzaktan komuta yürütme için tasarlanmış modern bir sıçanı temsil eder.
Quorum Cyber analizi, nodesnake.a ve nodesnake.b ile iki iterasyon tanımlar.
Nodesnake.a, “ChromeUpdater” olarak gizlenmiş kayıt defteri girişleri aracılığıyla kalıcılık oluşturur ve Cloudflare ile ilgisiz komut ve kontrol (C2) sunucularına veri açığa çıkması için statik bir anahtarla temel XOR şifrelemesini kullanır.
Nodesnake’in teknik sofistike olması
Buna karşılık, nodesnake.b, gerçek zamanlı kabuk komutu yürütmesi için CMD gibi yeni yük türlerinin yanı sıra ve C2 yoklama aralıklarını ayarlamak için etkin olan yeni yük türlerinin yanı sıra bir haddeleme xor tuşu, zlib sıkıştırma ve dinamik dize şifrelemesi sunar.
Bu geliştirmeler, konsol kurcalaması ve proses dekolmanı gibi taktiklerle birleştiğinde, nodesnake.b hem manuel hem de otomatik algılamadan kaçınmak için müthiş bir araç haline getirir.
Kötü amaçlı yazılımların Cloudflare tünellerine olan güveni, saldırganlar SSH, RDP ve SMB gibi hizmetlere erişmek için meşru altyapı kullandıkça azaltma çabalarını daha da karmaşıklaştırır ve tehlikeye atılan ağlardaki yanal hareket sağlar.
Nodesnake’in arkasındaki olası operatör olan Interlock, Ekim 2024’te ortaya çıktı ve Kuzey Amerika ve Avrupa’daki yüksek değerli varlıkları hedefleyen çift genişlemeli kampanyalarla biliniyor.
Hizmet olarak tipik fidye yazılımı (RAAS) gruplarının aksine, Interlock bağımsız olarak çalışır, hem Linux hem de Windows sistemlerinde verileri şifreleyerek ve “.interlock” uzantısını dosyalara eklerken “.Quick_guideetkilenen klasörlerde .txt ”.
Proofpoint tarafından bildirildiği gibi, kötü niyetli ekler veya bağlantılarla kimlik avı e -postalarının kullanılması, genellikle Xworm ve Asyncrat gibi diğerlerinin yanında nodesnake gibi sıçanları teslim eder.
Nodesnake’de modülerlik ve etkileşimli uzlaşmaya yönelik stratejik kayma.B, Interlock’un operasyonel esnekliği ve gizli olmayı koruma niyetinin altını çizerek işletme ortamları için önemli bir risk oluşturmaktadır.
Kuruluşlardan sıfır güven politikaları benimsemeleri, düzenli yazılım güncellemeleri sağlamaları, kullanıcı eğitimini geliştirmeleri ve bu tehditleri azaltmak için sağlam uç nokta koruması dağıtmaları istenir. Aşağıda, savunmaları desteklemede referans için kilit ve nodesnake ile ilişkili uzlaşma göstergeleri (IOC’ler) gösterilmiştir.
Uzlaşma Göstergeleri (IOCS)
| IOC Türü | IOC değeri | Yorum |
|---|---|---|
| İhtisas | Sublime-Forecasts-Pale-Scored.TrilCloudFlare[.]com | Interlock fidye yazılımı ile ilişkili |
| Hash (SHA-256) | f99fb136427fc8ed344d455eb1cbd7eabc405620ae8b4205d89a8e2e1e712256 | Sıçan kötü amaçlı yazılım dosyası |
| IPv4 | 212[.]237[.]217[.]182 | C2 sunucusuna kötü niyetli IP (AS57043) |
| Fidye notu | Quick_guide.txt | Interlock fidye yazılımı ile ilişkili |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!