Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımları
Araştırmacılar Moneybird Fidye Yazılımı Türünü Keşfediyor, Artan Gelişmişlik Uyarısında Bulunuyor
Daha Fazla (AnvikshaDevamı) •
25 Mayıs 2023
Güvenlik araştırmacıları, İsrail kuruluşlarına karşı yeni bir kötü amaçlı yazılım türü kullanarak yeni bir fidye yazılımı saldırıları zinciri gerçekleştiren İran bağlantılı bir APT grubu keşfettiler.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
Check Point’teki araştırmacılar, İranlı Agrius grubunun önceki kampanyalarını anımsatan Moneybird adlı bir fidye yazılımı türü buldular.
Agrius, İsrail merkezli varlıkları silecek varyantlarıyla hedef alarak savunucuların kafasını karıştırmak için izinsiz girişleri fidye yazılımı saldırıları olarak gizleyerek ün kazandı.
Check Point araştırmacılarına göre, yeni Moneybird türü, özel olarak oluşturulmuş Apostle silecek kötü amaçlı yazılımını kullanan önceki Agrius saldırılarına yönelik bir yükseltmedir. Yükseltme, grubun amansız genişleme çabalarının bir göstergesidir. Check Point, “C++ ile yazılmış yeni bir fidye yazılımının kullanılması, grubun genişleyen yeteneklerini ve yeni araçlar geliştirme konusundaki süregelen çabasını gösterdiği için dikkate değerdir” dedi.
En son saldırı, giriş noktası olarak kullanılan bilinen VPN hizmet düğümlerini kullanan savunmasız sunuculara yerleştirilen web kabuklarını içerir. Web kabuklarının konuşlandırılmasının ardından, tehdit aktörü, etkilenen sistemde yanal olarak hareket etmek için halka açık birkaç araç kullandı.
Kötü amaçlı dosyalar daha sonra bazı yaygın hizmetler aracılığıyla fidye yazılımı yürütme ve veri sızdırma etkinlikleri için indirilir.
Keşif, yanal hareket ve veri hırsızlığı ve kimlik bilgileri toplama gibi başka araçlar da benzer amaçlar için konuşlandırılır. Bu araçlar şunları içerir:
- Dahili ağları taramak için SoftPerfect Ağ Tarayıcısı;
- Saldırganın sahip olduğu bir VPS’den trafiği tünellemek için Plink;
- LSASS’yi boşaltmak ve kimlik bilgilerini toplamak için ProcDump;
- Sıkıştırılmış dosyaları ayıklamak için FileZilla.
Check Point araştırmacıları, kötü niyetli kişilerin çoğunlukla Microsoft tarafından sunulan güvenli bir ağ iletişim protokolü olan Uzak Masaüstü Protokolünü kullanarak manuel saldırılar gerçekleştirdiklerini söyledi. Bir tarayıcı açarak ve yükleri barındıran yasal dosya paylaşım hizmetlerine bağlanarak birkaç yük indirilmiş gibi görünüyordu; bunlardan biri Moneybird için çalıştırılabilir dosyaydı.
Tehdit, herhangi bir komut satırı ayrıştırma yeteneğinden yoksundur, bunun yerine aracın içine gömülü bir yapılandırma dosyası blobu içerir, bu da onu çeşitli farklı BT ortamlarına sahip toplu kampanyalar için daha az uygun hale getirir.