Kickidler çalışan izleme yazılımı fidye yazılımı saldırılarında istismar


Hacker

Fidye yazılımı operasyonları, keşif için meşru Kickidler çalışan izleme yazılımı kullanıyor, kurbanlarının faaliyetlerini takip ediyor ve ağlarını ihlal ettikten sonra kimlik bilgilerini hasat ediyor.

Siber güvenlik şirketleri Varonis ve Synacktiv, Qilin ve Hunters International fidye iştirakleri tarafından gözlemlenen saldırılarda, tuş vuruşlarını yakalayabilen, ekran görüntüleri alabilen ve ekranın videolarını oluşturabilen bir çalışan izleme aracı olan Kickidler yüklü.

Kickidler’in geliştiricisi, aracın 60 ülkeden 5.000’den fazla kuruluş tarafından kullanıldığını ve görsel izleme ve veri kaybı önleme özellikleri sağladığını söylüyor.

Saldırılar, VMware vSphere dağıtımlarını yönetmek için ücretsiz bir Windows yardımcı programı olan RVTools’u aradığında görüntülenen Google reklamlarını alan tehdit aktörleri ile başladı. Reklamı tıklamak sahte bir RVTools sitesine yol açtı (RV-Tool[.]Net), Truva Program sürümünü tanıtmak.

Program, Kickidler’i cihaza dağıtmak için kullanılan Smokedham PowerShell .NET Backdoor’u indiren ve çalıştıran bir kötü amaçlı yazılım yükleyicidir.

Saldırı akışı
Saldırı Akışı (Varonis)

Bu saldırılar, hesapları tipik olarak tehdit aktörlerine uzlaştıktan sonra ayrıcalıklı kimlik bilgileri sağlayacak olan kurumsal yöneticileri hedef aldı, Varonis, tespit edilmeden saha dışı bulut yedeklemelerine erişmek için gerekli kimlik bilgilerini toplamak için kurbanların sistemlerine günlerce ve hatta haftalar için erişebileceklerine inanıyor.

Varonis, “Son yıllarda saldırganlar tarafından yedekleme çözümlerinin artan hedeflenmesi göz önüne alındığında, savunucular Windows alanlarından yedekleme sistemi kimlik doğrulamasını ayırıyor. Bu önlem, saldırganların üst düzey Windows kimlik bilgileri elde etseler bile yedeklemelere erişmesini engelliyor.” Dedi.

“Kickidler, bir yöneticinin iş istasyonundan tuş vuruşlarını ve web sayfalarını yakalayarak bu sorunu ele alıyor. Bu, saldırganların saha dışı bulut yedeklemelerini tanımlamasını ve bunlara erişmek için gerekli şifreleri almasını sağlar. Bu, belleği veya algılanması daha olası diğer yüksek riskli taktikleri boşaltmadan yapılır.”

Her iki durumda da, ihlal edilen ağlarda kötü niyetli etkinliklere devam ettikten sonra, fidye yazılımı operatörleri, kurbanların VMware ESXI altyapısını hedefleyen, VMDK sanal sabit disk sürücülerini şifreleyen ve yaygın bozulmaya neden olan yükleri dağıttılar.

Synacktiv, Hunters International tarafından kullanılan dağıtım komut dosyası, SSH hizmetini etkinleştirmek, fidye yazılımlarını dağıtmak ve ESXI sunucularında yürütmek için VMware PowerCli ve WINSCP Automation’dan yararlandı.

Saldırılarda istismar edilen meşru RMM yazılımı

Çalışan izleme yazılımı fidye yazılımı çeteleri için go-to aracı olmasa da, yıllardır meşru uzaktan izleme ve yönetim (RMM) yazılımını kötüye kullandılar.

CISA, NSA ve MS-ISAC Ocak 2023 Ortak Danışmanlığı’nda uyardığı gibi, birçok fidye yazılımı operasyonunun saldırganları, kurbanları yazılım kontrollerini atlamak için taşınabilir uzak masaüstü çözümleri kurmaya ve yönetici ayrıcalıklarına ihtiyaç duymadan sistemlerini devralmak için kandırıyor.

Ekim 2022’nin ortalarından bu yana, CISA, bu tür saldırılara bağlı birden fazla Federal Sivil İcra Şubesi (FCEB) ajanslarının ağlarında kötü niyetli faaliyetler keşfetti.

Son zamanlarda, saldırganlar, yönetici hesapları oluşturmak, backdoors yüklemek ve potansiyel olarak Akira fidye yazılımı saldırıları için zemin hazırlamak için savunmasız SimpleHelp RMM müşterilerini hedefleyen görüldü.

Potansiyel güvenlik ihlallerine karşı savunmak için, ağ savunucularına yüklü uzaktan erişim araçlarını denetlemeleri ve yetkili RMM yazılımını tanımlamaları tavsiye edilir.

Ayrıca, yetkisiz RMM yazılımının yürütülmesini önlemek ve yalnızca yetkili uzak masaüstü araçlarının ve VPN veya VDI gibi onaylanmış uzaktan erişim çözümlerinin kullanımını uygulamak için uygulama denetimlerinin kullanılması önerilir.

Buna ek olarak, güvenlik ekipleri kullanılmadığı takdirde standart RMM bağlantı noktalarında ve protokollerde gelen ve giden bağlantıları engellemelidir.

Kırmızı Rapor 2025

14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.



Source link