Hızlı ve son derece koordineli bir saldırıda, Lockbit fidye yazılımı operatörleri, Atlassian Confluence sunucularında, açık bir Windows sunucusunu hedefleyen kritik bir uzaktan kod yürütme güvenlik açığından (CVE-2023-22527) kullandı.
CVSS 10.0 olarak derecelendirilen bu güvenlik açığı, kimlik doğrulanmamış saldırganların kötü niyetli nesne grafi navigasyon dili (OGNL) ifadeleri yanlış sterilize edilmiş şablon dosyalarına enjekte ederek keyfi komutlar yürütmelerini sağladı.
Saldırı, sistem keşif komutlarıyla başladı, örneğin net user Ve whoamikullanıcı hesaplarını numaralandırmak ve sistem ayrıntılarını toplamak için.
Saldırganlar bu ilk dayanağını, kalıcı erişim için AnyDesk’i dağıtmak için kullandılar ve komut ve kontrol (C2) kanallarını oluşturmak için Metasploit çerçevesini kullandılar.
Birkaç dakika içinde, yeni bir yerel yönetici hesabı oluşturarak ayrıcalıkları artırdılar ve Windows Defender da dahil olmak üzere güvenlik savunmalarını devre dışı bırakmaya devam ettiler.
Hızlı yan hareket ve eksfiltrasyon
Uzak masaüstü protokolünü (RDP) kullanarak, saldırganlar ağ boyunca yanal olarak hareket ederek yedek sunucular ve dosya paylaşımları gibi anahtar sistemleri hedeflediler.
DFIR raporuna göre, kimlik bilgilerini çıkarmak için Mimikatz gibi araçlar ve ağ numaralandırma için SoftperFect’in Netscan’ı kullandılar.
Yedek sunucuda, hassas Veeam kimlik bilgilerini almak için PowerShell komut dosyalarını yürüttüler ve bu uzlaşmış hesapları kullanarak ek sistemlere eriştiler.
Veri eksfiltrasyonu saldırıya bir saatten biraz fazla bir süre başladı. Saldırganlar, hassas dosyaları mega.io’ya aktarmak için meşru bir bulut depolama aracı olan Rclone’u kullandı.
Parçalarını kapsamak için Windows olay günlüklerini ve işlemleriyle ilişkili dosyaları sildiler.
Lockbit Fidye Yazılımı Dağıtım
İlk erişimden yaklaşık iki saat sonra saldırganlar Lockbit Fidye yazılımı yükünü başlattı.
Başlangıçta, fidye yazılımı ikili dosyaları etkin RDP oturumları aracılığıyla belirli sunucularda manuel olarak yürütüldü.
Yaygın şifrelemeyi sağlamak için, fidye yazılımı ikili dosyalarının SMB hisseleri aracılığıyla birden fazla uç noktada dağılımını otomatikleştiren bir kurumsal yazılım dağıtım aracı olan PDQ DePlow’u kullandılar.
İkincil bir şifreleme dalgası, uzak sistemlerin C $ hisselerini arızalı bir mekanizma olarak monte ederek tetiklendi.
Saldırı, şifreli dosyalarla sonuçlandı .rhddiicoE Uzatma ve fidye notları tehlikeye atılan sistemlerde kaldı.
Saldırganlar ayrıca fidye yazılımı yürütme sürecinin bir parçası olarak masaüstü arka planlarını değiştirdiler.
- Ransom zamanı (TTR): Tam fidye yazılımı dağıtımına ilk erişimin tamamı, iki saatten fazla bir süre içinde tamamlandı ve olağanüstü hız ve hassasiyet sergiledi.
- Sofistike araç seti: Tehdit oyuncusu, kimlik doğrulaması için Mimikatz, C2 işlemleri için metasploit ve otomatik fidye yazılımı dağılımı için PDQ dağıtımı da dahil olmak üzere çok çeşitli araçlar kullandı.
- Sömürü Detayları: Saldırı, Confluence sunucularındaki savunmasız uç noktaları hedefleyen hazırlanmış HTTP Post istekleri aracılığıyla CVE-2023-22527’den yararlandı.
Bu olay, bilinen güvenlik açıklarını derhal yamalamanın ve yaşam döngüsünün başlarında anormal aktiviteyi tespit etmek için sağlam izleme mekanizmalarının uygulanmasının kritik öneminin altını çizmektedir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here