Microsoft, DanaBot’u ilk erişim vektörü olarak dağıtmak için kötü amaçlı reklamcılık cazibesinden yararlanan yeni bir CACTUS fidye yazılımı saldırıları dalgası konusunda uyardı.
Microsoft Tehdit İstihbaratı ekibi, DanaBot enfeksiyonlarının “fidye yazılımı operatörü Storm-0216 (Twisted Spider, UNC2198) tarafından klavye üzerinde uygulamalı faaliyete yol açarak CACTUS fidye yazılımının dağıtımıyla sonuçlanmasına” yol açtı. söz konusu X’teki (eski adıyla Twitter) bir dizi gönderide.
Teknoloji devi tarafından Storm-1044 olarak takip edilen DanaBot, Emotet, TrickBot, QakBot ve IcedID gibi çok işlevli bir araçtır ve bir hırsız ve sonraki aşamadaki yükler için bir giriş noktası olarak hareket etme kapasitesine sahiptir.
Şubat 2021’de Google’ın sahibi Mandiant tarafından ayrıntılı olarak açıklandığı üzere, UNC2198’in Maze ve Egregor gibi fidye yazılımı ailelerini dağıtmak için uç noktalara IcedID bulaştırdığı daha önce gözlemlenmişti.
Microsoft’a göre tehdit aktörü, QakBot enfeksiyonlarının sağladığı ilk erişimden de yararlandı. DanaBot’ta yapılan değişiklik muhtemelen Ağustos 2023’te QakBot’un altyapısını çökerten koordineli bir kolluk kuvvetleri operasyonunun sonucudur.
Redmond ayrıca, “İlk olarak Kasım ayında gözlemlenen mevcut Danabot kampanyası, hizmet olarak kötü amaçlı yazılım teklifi yerine bilgi çalan kötü amaçlı yazılımın özel bir sürümünü kullanıyor gibi görünüyor” dedi.
Kötü amaçlı yazılım tarafından toplanan kimlik bilgileri, aktör kontrollü bir sunucuya iletilir ve ardından RDP oturum açma girişimleri aracılığıyla yanal hareket yapılır ve sonuçta Storm-0216’ya erişim devredilir.
Açıklama, Arctic Wolf’un, kurumsal ağlara erişim sağlamak için Qlik Sense adlı bir veri analitiği platformundaki kritik güvenlik açıklarından aktif olarak yararlanan başka bir CACTUS fidye yazılımı saldırıları kümesini ortaya çıkarmasından birkaç gün sonra geldi.
Bu aynı zamanda Go programlama dilinde yazılmış ve geçici bir imzayla imzalanmış, böylece Gatekeeper korumaları nedeniyle başlatılması sırasında yürütülmesini engelleyen Turtle adlı yeni bir macOS fidye yazılımı türünün keşfini de takip ediyor.