Microsoft, LockBit ve Cl0p Fidye Yazılımını Teslim Etmek İçin Kullanılan PaperCut Sunucularını Onayladı


LockBit ve Cl0p Fidye Yazılımı

Microsoft, PaperCut sunucularının aktif olarak kullanılmasının Cl0p ve LockBit fidye yazılımı ailelerini dağıtmak için tasarlanmış saldırılarla bağlantılı olduğunu onayladı.

Teknoloji devinin tehdit istihbarat ekibi, izinsiz girişlerin bir alt kümesini, adı altında izlediği finansal olarak motive olmuş bir aktöre atfediyor. Dantel Fırtınası (eski adıyla DEV-0950), FIN11, TA505 ve Evil Corp. gibi diğer bilgisayar korsanlığı gruplarıyla örtüşüyor.

“Gözlenen saldırılarda, Lace Tempest, bir C2 sunucusuna bağlanan, LSASS kimlik bilgilerini çalmaya çalışan ve TrueBot yükünü conhost.exe hizmetine enjekte eden bir TrueBot DLL sunmak için birden fazla PowerShell komutu çalıştırdı.” söz konusu bir dizi tweet’te.

Saldırının bir sonraki aşaması, keşif yapmak, WMI kullanarak ağ boyunca yatay olarak hareket etmek ve dosya paylaşım hizmeti MegaSync aracılığıyla ilgili dosyaları dışarı sızdırmak için Cobalt Strike Beacon implantının konuşlandırılmasını gerektirdi.

Lace Tempest, daha önce Fortra GoAnywhere MFT istismarlarından ve Raspberry Robin enfeksiyonları aracılığıyla kazanılan ilk erişimden yararlandığı söylenen bir Cl0p fidye yazılımı üyesidir (DEV-0856 olarak adlandırılan başka bir aktöre atfedilmiştir).

QNAP solucanı olarak da adlandırılan Raspberry Robin’in, IcedID, Cl0p ve LockBit gibi sonraki aşama yükleri için dağıtım aracı olarak kullanılan bir hizmet olarak erişim kötü amaçlı yazılımı olduğuna inanılıyor. Tespitten kaçınmak için çeşitli karartma, hata ayıklama önleme ve sanal makine önleme önlemleri içerdiği bilinmektedir.

Microsoft, tehdit aktörünün PaperCut kusurlarını (2023-27350 ve CVE-2023-27351) 13 Nisan gibi erken bir tarihte saldırı araç setine dahil ettiğini ve Melbourne merkezli baskı yönetimi yazılım sağlayıcısının önceki değerlendirmesini doğruladığını söyledi.

İki güvenlik açığından başarıyla yararlanılması, kimliği doğrulanmamış uzak saldırganların rastgele kod yürütmesine ve hassas bilgilere yetkisiz erişim elde etmesine olanak sağlayabilir.

Redmond, LockBit fidye yazılımı bulaşmalarına yol açanlar da dahil olmak üzere aynı kusurları silah haline getiren ayrı bir faaliyet kümesinin de tespit edildiğini ekledi.

FIN7, Veeam Kusur CVE-2023-27532’den Yararlanıyor

Gelişme, FIN7 olarak izlenen Rus siber suç grubunun, yerleşik bir yükü yürüten temel bir PowerShell tabanlı bellek içi damlalık olan POWERTRASH’ı dağıtmak için yama uygulanmamış Veeam yedekleme yazılımı örneklerini kullanan saldırılarla bağlantılı olmasıyla ortaya çıktı.

FIN7, Veeam Kusurundan Yararlanıyor

WithSecure tarafından 28 Mart 2023’te tespit edilen etkinlik, büyük olasılıkla Veeam Backup & Replication’da kimliği doğrulanmamış bir saldırganın yapılandırma veritabanında depolanan şifrelenmiş kimlik bilgilerini ele geçirmesine ve erişim kazanmasına izin veren yüksek önem dereceli bir kusur olan CVE-2023-27532’nin kötüye kullanılmasıyla ilgiliydi. altyapı ana bilgisayarlarına. Geçen ay yama yapıldı.

Fin siber güvenlik şirketi, “Tehdit aktörü, güvenliği ihlal edilmiş makinelerden ana bilgisayar ve ağ bilgilerini toplamak için bir dizi komut ve özel komut dosyaları kullandı” dedi. “Ayrıca, Veeam yedekleme veritabanından bilgi çalmak için bir dizi SQL komutu yürütüldü.”

Saldırılarda ayrıca, yedek sunuculardan saklanan kimlik bilgilerini almak, sistem bilgilerini toplamak ve cihaz her başlatıldığında DICELOADER’ı (aka Lizar veya Tirion) çalıştırarak güvenliği ihlal edilmiş ana bilgisayarda aktif bir dayanak oluşturmak için özel PowerShell komut dosyaları da kullanıldı.

DICELOADER kötü amaçlı yazılımının kodu çözülüp, DUBLOADER olarak adlandırılan başka bir benzersiz yükleyici kullanılarak yürütülerek, şimdiye kadar belgelenmemiş kalıcılık komut dosyasının kod adı POWERHOLD olmuştur.

YAKLAŞAN WEBİNAR

Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!

Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!

Koltuğumu Kurtar!

Güvenlik araştırmacıları Neeraj Singh ve Mohammad Kazem Hassan Nejad, “Bu saldırıların amacı, tam olarak gerçekleşmeden önce hafifledikleri için bu yazının yazıldığı sırada belirsizdi.”

POWERHOLD ve DUBLOADER, FIN7 tarafından saldırı cephaneliğine eklenen tek yeni kötü amaçlı yazılım parçaları olmaktan çok uzaktır. IBM Security X-Force kısa bir süre önce, devam eden istismarı kolaylaştırmak için tasarlanmış Domino adlı bir yükleyiciye ve arka kapıya ışık tuttu.

Mirai Botnet, TP-Link Archer WiFi Yönlendirici Hatasını Açıkladı

İlgili bir gelişmede, Zero Day Initiative (ZDI), Mirai botnet yazarlarının kötü amaçlı yazılımlarını, kimliği doğrulanmamış bir saldırganın yürütmesine izin verebilecek TP-Link Archer AX21 yönlendiricilerindeki yüksek önem dereceli bir kusur olan CVE-2023-1389’u içerecek şekilde güncellediklerini açıkladı. etkilenen kurulumlarda isteğe bağlı kod.

Mirai Botnet İstismarları

Sorun (CVE-2023-1389, CVSS puanı: 8.8), Aralık 2022’de Toronto’da düzenlenen Pwn2Own bilgisayar korsanlığı yarışmasında Team Viettel’den araştırmacılar tarafından gösterildi ve satıcının Mart 2023’te düzeltmeler yayınlamasını istedi.

ZDI’ye göre vahşi istismarın ilk işaretleri, 11 Nisan 2023’te tehdit aktörlerinin, yükleri indirmek ve yürütmek için Mirai komuta ve kontrol (C2) sunucularına bir HTTP isteği yapmak üzere kusurdan yararlanmasıyla ortaya çıktı. cihazı botnet’e dahil etmekten ve oyun sunucularına karşı DDoS saldırıları başlatmaktan sorumludur.

ZDI tehdit araştırmacısı Peter Girnus, “Bu, bir kuruluştaki yerlerini korumak için IoT cihazlarını hızla kullanmalarıyla tanınan Mirai botnet’in koruyucuları için yeni bir şey değil.” Dedi. “Bu yamayı uygulamak, bu güvenlik açığını gidermek için önerilen tek eylemdir.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link