EncryPthub olarak da bilinen yeni tanımlanmış bir siber suç grubu olan Larva-208, Haziran 2024’ten bu yana küresel olarak 618 kuruluşa başarılı bir şekilde sızdı ve kimlik bilgilerini çalmak ve fidye yazılımlarını dağıtmak için ileri sosyal mühendislik tekniklerinden yararlandı.
Siber güvenlik firmalarının Catalyst ve Prodaft’ın raporlarına göre, grup operasyonlarında yüksek düzeyde sofistike olduğunu göstererek, kurumsal ağları, Sminging (SMS kimlik avı) ve vishing (ses kimlik avı) kullanan mızrak aktı kampanyaları aracılığıyla hedef aldı.
Sofistike sosyal mühendislik taktikleri sömürüldü
Larva-208’in Modus Operandi, çalışanları VPN kimlik bilgilerini ifşa etmek için aldatmak için BT personelinin taklit edilmesini veya AnyDesk, TeamViewer veya Atera gibi uzaktan izleme ve yönetim (RMM) yazılımlarını kurmayı içerir.
Saldırganlar, kimlik avı kampanyalarının güvenilirliğini artırmak için Cisco AnyConnect, Palo Alto GlobalProtect ve Fortinet gibi popüler VPN hizmetlerini taklit eden 70’den fazla alan adı kaydetti.
Grup, gerçek zamanlı etkileşimler sırasında bir kerelik pasodları (OTP’ler) hasat ederek, şüpheden kaçınmak için multifaktör kimlik doğrulama (MFA) ölçümlerini (MFA) önlemleri ve kurbanları meşru giriş sayfalarına yönlendirir.
Erişim kazanıldıktan sonra, Larva-208, Stealc, Rhadamanthys ve Fickle Stealer gibi bilgi çalma kötü amaçlı yazılımları yüklemek için özel olarak geliştirilen PowerShell komut dosyalarını dağıtır.
Catalyst’e göre, bu araçlar tarayıcı destekli kimlik bilgileri, oturum çerezleri ve sistem bilgileri dahil olmak üzere hassas verileri çıkarır.
Çalınan veriler, saldırganlar tarafından kontrol edilen komut ve kontrol (C2) sunucularına eklenir.
Ayrıca, grup kripto para cüzdanlarını ve şifre yöneticilerini hedefler ve saldırılarının etkisini daha da artırır.
Larva-208’in işlemlerinin son aşaması, ödün verilen sistemlerde dosyaları şifrelemek için fidye yazılımı yüklerinin dağıtılmasını içerir.
Grubun tescilli fidye yazılımı Locker.ps1, dosyaları kilitlemek için AES şifrelemesini kullanır ve “.crepted” bir uzantı ekler.
Mağdurlar, kripto para biriminde ödeme için Telegram aracılığıyla saldırganlarla iletişim kurmalarını söyleyen bir fidye notu bırakıyor.
Grup ayrıca Ransomhub ve Blacksuit gibi diğer fidye yazılımı suşlarıyla da bağlantılıdır.
Fidye yazılımı dağıtım, yaygın operasyonel aksamalara neden olur
Bazı durumlarda, Larva-208, Microsoft’un alanlarındaki açık yönlendirme parametrelerini kötüye kullanarak Microsoft Teams bağlantılarındaki güvenlik açıklarından yararlanır.
Bu, sahte giriş sayfaları oluşturmadan kullanıcı kimlik bilgilerini kesmelerine olanak tanır.
Grubun kimlik avı siteleri için kurşun geçirmez barındırma sağlayıcılarına güvenmesi, yayından kaldırma çabalarını daha da karmaşıklaştırıyor.
Bu ihlallerin ölçeği, etkilenen kuruluşlar için önemli operasyonel aksamalarla sonuçlanmıştır.
Uzmanlar, Larva-208’in yüksek değerli varlıkları hedefleyen siber tehditlerin artan sofistike karmaşıklığını örneklediği konusunda uyarıyor.
Grup, gelişmiş gizleme tekniklerini özel sosyal mühendislik taktikleriyle birleştirerek, kritik sistemlerden kaçınma ve tehlike oluşturmada dikkate değer bir etkinlik göstermiştir.
Siber güvenlik firmaları, bu tür tehditlere karşı koymak için gelişmiş farkındalık ve sağlam güvenlik önlemleri ihtiyacını vurgulamaktadır.
Larva-208 kampanyalarına devam ettikçe, kuruluşlar insan güvenlik açıklarından ve teknik savunmalardan yararlanmak için tasarlanmış gelişen saldırı vektörlerine karşı uyanık kalmalıdır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free