Lionishackers olarak bilinen finansal olarak motive olmuş bir tehdit aktörü, son aylarda kurumsal veriler için yasadışı pazarda önemli bir oyuncu olarak ortaya çıktı.
Fırsatçı hedefleme ve Asya merkezli kurbanları tercih eden grup, veritabanı sunucularını ihlal etmek, hassas kayıtları eklemek ve yeraltı forumlarında ve telgraf kanallarında satışa sunmak için otomatik SQL enjeksiyon araçlarını kullanır.
Açıkça fidye yazılımı tabanlı olmasa da, modelleri, şifre çözme için ödemeyi şifrelemek ve talep etmek yerine, çalınan verilerden doğrudan para kazanarak bir tür “çift gasp” yansıtır.
Outpost24 analistleri, Lionishackers’ın başlangıçta Eylül 2024’te ortaya çıktığını ve birden fazla yeraltı platformunda paylaşılan bilgi kanıt ekran görüntüleri ve örnek alıntılar yoluyla hızla bir üne sahip olduğunu belirtti.
Grubun iletişim stratejisi, alıcı sosyal yardımını korurken uzun vadeli atıftan kaçan çok sayıda forum takma adının-özdeş telgraf iletişim bilgilerine bağlı-sürdürülmesini içerir.
Hizmetleri, sosyal medya ve e -posta kimlik bilgileri veritabanlarının yanı sıra DDOS botnets ve forum barındırma projeleri gibi yardımcı teklifleri içerecek şekilde kurumsal kayıtların ötesinde çeşitlilik göstermiştir.
Lionishackers’ın faaliyeti hızlandıkça, hedeflenen kuruluşlar üzerindeki etkileri giderek daha belirgin hale geldi. Mağdurlar hükümet organlarını, telekomünikasyon firmalarını, ilaç şirketlerini, eğitim kurumlarını, perakende zincirlerini ve özellikle kumar sitelerini kapsamaktadır.
Exfiltrated veri kümeleri, kişisel olarak tanımlanabilir bilgiler (PII), finansal kayıtlar ve kimlik doğrulama kimlik bilgileri – kimlik hırsızlığı, hesap devralma veya kurumsal casusluk için kolayca sömürülen öğeler içermektedir.
Grubun taktikleri, geleneksel fidye yazılımı dağıtmadan derin itibar ve finansal zarar verebilecek veritabanı odaklı siber suçların artan gücünün altını çiziyor.
Outpost24 araştırmacıları, grubun SQL tabanlı saldırılarda uzmanlaşmasının ve yaygın olarak mevcut olan otomasyon çerçevelerine güvenmenin hızlı uzlaşma ve ölçeklendirmeyi mümkün kıldığını belirlediler.
İzole veritabanı satışlarından, ağ katmanı DDO’ları için Hayalet Botnet gibi ek tekliflere geçiş, gelişen ceza girişimlerini düşünmektedir.
.webp)
Ghost’un yeteneklerini sergileyen bir telgraf reklamı. Kısa ömürlü “Stresli Forumlar” projesi, BreachForums’un kolluk kuvvetlerini incelemeye başladı.
.webp)
Enfeksiyon mekanizması ve kalıcılık taktikleri
Daha yakından incelendiğinde, Lionishackers’ın öncelikle zayıf yapılandırılmış web uygulamalarında SQL enjeksiyon güvenlik açıklarından yararlandığını ortaya koymaktadır.
SQLMAP gibi araçlardan yararlanarak keşif ve yük teslimatını otomatikleştirir.
Outpost24 tarafından gözlemlenen tipik bir enjeksiyon dizisi aşağıdakiler:-
sqlmap -u "https://victim.com/product?id=1" \
--batch --dbs --threads=5 \
--tamper=space2comment --time-sec=10Bu komut enjekte edilebilir parametreler için problar, veritabanlarını numaralandırır ve tablo içeriğini çıkarır.
Kimlik bilgileri alındıktan sonra, saldırganlar genellikle dahili ağlara daha derine dönecek şekilde geçerli giriş bilgilerini yeniden kullanırlar.
.webp)
Kalıcılık, geçici dizinlerde tutulan veya zararsız güncelleme komut dosyaları olarak gizlenmiş hafif arka kapıların (frekanslı olarak basit web mermileri) dağıtılmasıyla elde edilir.
.webp)
Bu kabuklar, ilk güvenlik açığı yamalanırsa, devam eden veri çekimlerini kolaylaştırır ve geri dönüş erişim noktaları olarak hizmet eder.
Lionishackers’ın otomasyon güdümlü SQL enjeksiyon iş akışını ve forumlardaki çevik takma ad rotasyonunu anlayarak, savunucular uygulama güvenlik duvarı kurallarını önceliklendirebilir, sorguyu parametrelendirmeyi geliştirebilir ve anormal veritabanı erişim kalıpları için sürekli izleme uygulayabilir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin