Play fidye yazılımı grubu, .NET’te siber saldırılarının etkinliğini artırmak için kullandığı Grixba ve VSS Copying Tool adlı iki özel araç geliştirdi.
İki araç, saldırganların güvenliği ihlal edilmiş ağlardaki kullanıcıları ve bilgisayarları numaralandırmasına, güvenlik, yedekleme ve uzaktan yönetim yazılımları hakkında bilgi toplamasına ve kilitli dosyaları atlamak için Birim Gölge Kopyası Hizmeti’nden (VSS) kolayca dosya kopyalamasına olanak tanır.
Symantec’teki güvenlik araştırmacıları yeni araçları keşfedip analiz ettiler ve bulgularını raporlarını yayınlamadan önce BleepingComputer ile paylaştılar.
Yeni özel araçlar
Grixba, bir etki alanındaki kullanıcıları ve bilgisayarları numaralandırmak için kullanılan bir ağ tarama ve bilgi çalma aracıdır. Ayrıca, ağ aygıtlarında hangi yazılımların çalıştığını belirlemek için WMI, WinRM, Uzak Kayıt Defteri ve Uzak Hizmetleri kullanan bir ‘tarama’ modunu da destekler.
Tarama işlevini gerçekleştirirken Grixba, anti-virüs ve güvenlik programlarını, EDR paketlerini, yedekleme araçlarını ve uzaktan yönetim araçlarını kontrol edecektir. Ayrıca tarayıcı, potansiyel olarak taranan bilgisayarın türünü belirlemek için yaygın ofis uygulamalarını ve DirectX’i denetler.
Araç, toplanan tüm verileri CSV dosyalarına kaydeder, bunları bir ZIP arşivine sıkıştırır ve ardından saldırganların C2 sunucusuna sızdırarak onlara saldırının sonraki adımlarını nasıl planlayacakları konusunda hayati bilgiler verir.
Kaynak: Symantec
Symantec tarafından Play fidye yazılımı saldırılarında tespit edilen ikinci özel araç, saldırganların paketlenmiş bir AlphaVSS .NET kitaplığı kullanarak API çağrıları yoluyla Birim Gölge Kopya Hizmeti (VSS) ile etkileşime girmesine olanak tanıyan VSS Kopyalama Aracıdır.
Birim Gölge Kopyası Hizmeti, kullanıcıların belirli zaman noktalarında sistem anlık görüntüleri ve verilerinin yedek kopyalarını oluşturmasına ve veri kaybı veya sistem bozulması durumunda bunları geri yüklemesine olanak tanıyan bir Windows özelliğidir.
VSS Kopyalama Aracı, Play fidye yazılımının mevcut gölge birim kopyalarından dosyaları, bu dosyalar uygulamalar tarafından kullanılıyor olsa bile çalmasını sağlar.
Symantec tarafından analiz edilen her iki araç da, bağımlılık gerektirmeyen bağımsız yürütülebilir dosyalar oluşturabilen ve güvenliği ihlal edilmiş sistemlerde devreye almayı kolaylaştıran Costura .NET geliştirme aracı kullanılarak yazılmıştır.
Play fidye yazılımının özel araçlar kullanması, kötü şöhretli tehdit aktörünün saldırılarının etkinliğini artırmayı ve kötü niyetli görevlerini daha verimli bir şekilde gerçekleştirmeyi amaçladığını gösteriyor.
Yılın başından bu yana Play fidye yazılımı, California’daki City of Oakland, A10 Networks, Arnold Clark ve Rackspace dahil olmak üzere birçok yüksek profilli kurbana sahip oldu.