Cyble araştırmacıları, sadece göze çarpan bir fidye yazılımı olan Doge Big Balls adlı fidye yazılımını ortaya çıkardılar, aynı zamanda cüretkar psikolojik manipülasyon için teknik ustalığını da sunuyor.
Bu kötü amaçlı yazılım kampanyası, gelişmiş sömürü tekniklerini, sosyal mühendisliği ve suçu yanlış bir şekilde suçlamak için kasıtlı bir girişim, özellikle de Elon Musk’ın Doge Girişimi ile ilişkili 19 yaşındaki bir yazılım mühendisi olan Edward Coristine ile ilişkilendiriyor.
Doge Big Balls saldırısının oluşumu: aldatıcı bir zip dosyası
Saldırı, tipik olarak kimlik avı e -postaları yoluyla yayılan “Pay ayar.zip” başlıklı görünüşte zararsız bir fermuar dosyasıyla başlar. İçeride, “ödeme ayarlaması.pdf.lnk” adlı bir kısayol dosyası şüphesiz kurbanları bekliyor.
Aktivasyon üzerine, bu kısayol sessizce çok aşamalı bir enfeksiyon işlemi başlatan bir dizi PowerShell komutu yürütür.
İlk senaryo, Stage1.ps1idari ayrıcalıkları kontrol eder. Tespit edilirse, sistemin başlangıç dizinindeki gizli bir klasör içinde “Adobe Acrobat.exe” olarak görünen Sis Fidye Yazılımının değiştirilmiş bir sürümünü indirmeye ve yürütmeye devam eder.
Bu gizli yerleşim, fidye yazılımlarının standart güvenlik önlemlerini atlayarak yüksek ayrıcalıklarla çalışmasını sağlar.
Çekirdek güvenlik açıklarından yararlanma: CVE-2015-2291 Kusur
Bu saldırının önemli bir yönü, Intel’in Ethernet Diagnostics DRIV’inde bir güvenlik açığı olan CVE-2015-2291’in sömürülmesidir.(IQVW64E.SYS). Bu kusur, saldırganların özel olarak hazırlanmış IOCTL çağrıları aracılığıyla çekirdek düzeyinde ayrıcalıklarla keyfi kod yürütmelerini sağlar. Bu güvenlik açığından yararlanarak, saldırganlar ayrıcalıklarını artırabilir, güvenlik günlüğünü devre dışı bırakabilir ve tehlikeye atılan sistemde kalıcılığı koruyabilir.
Kötü niyetli araç ktool.exe bu sömürüden sorumludur. Savunmasız sürücüyü çekirdek modu hizmeti olarak kurar ve fidye yazılımı işlemine çekirdek belleğine doğrudan erişim sağlar. Bu erişim Sistem süreci jetonunun fidye yazılımlarına enjeksiyonunu kolaylaştırır, ayrıcalıklarını etkili bir şekilde yükseltir ve güvenlik mekanizmalarını devre dışı bırakmasını sağlar.
Psikolojik Manipülasyon: “Doge Big Balls” markası
Fidye yazılımının adı “Doge Big Balls”, saldırıyı Edward Coristine ve Doge Girişimi ile ilişkilendirmek için kasıtlı bir girişimdir. Coristine, Elon Musk’un Hükümet Verimliliği Departmanı (DOGE) ile ilişkisi ile bilinen teknoloji topluluğunda önemli bir figür. Saldırganlar, adını ve Doge referansını dahil ederek karışıklık yaratmayı ve herhangi bir soruşturmayı yanlış yönlendirmeyi amaçlıyor.
Fidye notu ayrıca Coristine’nin ev adresi ve telefon numarası gibi kişisel bilgilerini ekleyerek bu yanlış yönlendirmeyi birleştirir.
Bu taktik kurbanı korkutmaya ve dikkati gerçek faillerden ayırmaya hizmet ediyor.
Gelişmiş keşif ve coğrafi konum teknikleri
Şifrelemenin ötesinde, saldırganlar kurbanları hakkında zeka toplamak için yeni yöntemler kullanıyorlar. . Lotootsubmit.ps1 Script, donanım kimlikleri, güvenlik duvarı durumları, ağ yapılandırmaları ve çalışma işlemleri dahil olmak üzere kapsamlı sistem ve ağ bilgileri toplar. Bu veriler, daha fazla profil oluşturma ve gelecekteki potansiyel saldırılara yardımcı olan bir bulut barındırma platformu aracılığıyla saldırganlara iletilir.
Özellikle, saldırganlar kurbanın fiziksel yerini belirlemek için wigle.net API’sini kullanır. Mağdurun yönlendiricisinin (BSSID) MAC adresini sorgulayarak, geleneksel IP tabanlı yöntemlerden daha hassas coğrafi konum sunarak tam coğrafi konumu belirleyebilirler.
Havoc C2 Beacon’un sömürü sonrası rolü
Saldırının içine gömülü bir Havoc C2 Beacon (Demon.x64.dll), saldırganların uzun vadeli erişimi sürdürme veya ek şifreleme sonrası faaliyetler yapma potansiyelini belirtir. Bu işaret, saldırganın komutu ve kontrol altyapısı ile iletişimi kolaylaştırır, bu da daha fazla talimat vermelerini veya tehlikeye atılan sistemden ek verileri sunmalarını sağlar.
Edward Coristine’nin katılımı: Bir yanlış uygulama vakası
Edward Coristine’nin adı, kişisel iletişim bilgileriyle birlikte fidye notunda belirgin bir şekilde görünür. Bu dahil olma, saldırganların araştırmacıları ve halkı yanıltıcı, Coristine’nin saldırıdan sorumlu olduğuna inanmaya yönelik stratejik bir harekettir. Gerçekte, Coristine’nin bu siber suçlara katılımı yoktur. Adının kullanımı, Doge Girişimi ile olan ilişkisini kullanmak ve yanlış bir anlatı yaratmak için hesaplanmış bir girişimdir.
Coristine’nin devlet operasyonlarında verimliliği ve şeffaflığı teşvik etmeyi amaçlayan bir proje olan Doge ile ilişkisi, onu teknoloji topluluğunda tanınabilir bir figür haline getirdi. Adını fidye yazılımı ile ilişkilendirerek, saldırganlar taleplerine güvenilirlik kazandırmak ve potansiyel araştırmacıları karıştırmak için halka açık profilinden yararlanmaya çalışırlar.
Çözüm
Doge Big Balls ile mücadele etmek, teknik yetenek, psikolojik manipülasyon ve stratejik yanlış yönlendirmeyi – Edward Coristine’ye yanlış ilişkilendirme de dahil olmak üzere – organizasyonlar ve bireylerin proaktif ve katmanlı bir savunma stratejisini benimsemeleri gerekir.
Etkili azaltma, güvenilmeyen LNK dosyalarını ve PowerShell komut dosyalarını engellemek için katı yürütme politikalarının uygulanmasıyla başlar ve anomaliler için PowerShell etkinliğini sürekli olarak izler. Fildingsiz kötü amaçlı yazılımları ve şüpheli davranışları tanımlayabilen gelişmiş uç nokta algılama ve yanıt (EDR) çözümlerinin dağıtılması esastır.
Rol tabanlı erişim kontrolü (RBAC) yoluyla idari ayrıcalıkların sınırlandırılması ve ayrıcalık artış girişimlerinin izlenmesi maruziyeti daha da azaltabilir. Ek olarak, NetLify ve Wigle.net gibi harici API’ler gibi hizmetlere yetkisiz giden bağlantıların engellenmesi, veri açığa çıkmasını ve coğrafi konum izlemeyi önlemek için çok önemlidir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.