Önemli bir siber saldırı, 24 Ağustos’ta Nevada’nın devlet hükümet ağını bozdu ve tüm eyalet ofis şubelerini 48 saat boyunca operasyonları kapatmaya zorladı.
İzinsiz giriş, tehdit oyuncusunun dahili ağda ilk taban kazanmasına izin vererek eşleştirilmemiş bir VPN ağ geçidinin kullanımı ile başladı.
Birkaç saat içinde, saldırganlar ayrıcalıkları artırmak, kritik sunucular boyunca yanal olarak hareket etmek ve hassas verileri yaymak için tasarlanmış özel bir kötü amaçlı yazılım yükü kullandılar.
Bu etkinlik, e -postayı, genel kayıtların erişimini ve iç iletişim kanallarını etkileyen yakın tarihte devlet BT hizmetlerinin en ciddi aksaklıklarından birini işaret ediyor.
Vali Lombardo Basın Ofisi analistleri, kötü amaçlı yazılımın çok aşamalı bir saldırı vektöründen yararlandığını belirtti: PowerShell’de yazılmış hafif bir damlalık, bu da uzlaşmış bir web sunucusundan ikinci aşamalı bir ikili getirdi.
Bu ikili, saldırganların ağ topolojisini haritalarken tespit edilmeme niyetini gösteren şifreli yapılandırma dosyaları içeriyordu.
Devlet teknisyenleri enfekte son noktaları izole etmek için çalıştıkça, normal kullanıcı kimlik doğrulama hizmetleri çevrimdışı yedeklemelere yeniden yönlendirildi ve kurtarma işlemini daha da karmaşıklaştırdı.
İlk adli analiz, damlalık komut dosyasının yeniden başlatma konusunda kalıcılık oluşturmak için aşağıdaki deseni kullandığını ortaya koydu:-
$TaskAction = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-NoProfile -WindowStyle Hidden -File C:\Windows\Temp\svc_update.ps1'
$Trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -TaskName 'WindowsUpdateSvc' -Action $TaskAction -Trigger $Trigger -Description 'System Update Service'.webp)
Bu teknik, kötü amaçlı yazılımların uç nokta yamaları uygulandıktan sonra bile sessizce yeniden başlatılmasına izin verdi.
Vali Lombardo Basın Ofisi araştırmacıları, damlacının bilinen APT araç setlerine kod benzerliklerini belirlediler, bu da faillerin devlet altyapısı hakkında gelişmiş özelliklere ve kapsamlı keşif verilerine sahip olduklarını düşündürmektedir.
Enfeksiyon mekanizması
Enfeksiyon mekanizmasına daha derinlemesine giren ikinci aşamalı ikili, HTTP’ler üzerinde özel bir iletişim protokolü kullanır ve benign REST API’sı izinsiz giriş tespit sistemlerinden kaçmaya çağırırken trafiğini maskelendirir.
Yürütme üzerine ikili, Windows Yönetimi Enstrümantasyonu (WMI) ana bilgisayar işlemine bir DLL yükler (wmiprvse.exe), meşru sistem süreçleri içindeki operasyonlarını etkili bir şekilde gizlemek.
DLL, yerleştirilmiş yükleri belleğe şifresini çözer, etki alanı denetleyicileri ve dosya paylaşımları için tarama modüllerini dağıtır.
Hedefler belirlendikten sonra, uzak bir C2 sunucusuna yığın yüklemeler kullanılarak eksfiltrasyon için şifreli dosyaların şifrelenmiş arşivleri düzenlenir.
Standart ağ güvenlik alarmlarını tetiklemeden ilk kod yürütülmesinden veri açığa çıkmasına kötü amaçlı yazılım geçişi.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.