Siber güvenlik araştırmacıları, tehlikeye atılmış uç noktalara kalıcı erişimi sürdürmek için Python tabanlı bir arka kapı kullanan bir tehdit aktörünün yer aldığı bir saldırının ayrıntılarını açıkladı ve ardından bu erişimden RansomHub fidye yazılımını hedef ağ boyunca dağıtmak için yararlandı.
GuidePoint Security’ye göre, ilk erişimin, şüphelenmeyen kullanıcıları sahte web tarayıcısı güncellemelerini indirmeleri için kandıran kampanyalar aracılığıyla dağıtıldığı bilinen SocGholish (diğer adıyla FakeUpdates) adlı bir JavaScript kötü amaçlı yazılımı indirilerek kolaylaştırıldığı söyleniyor.
Bu tür saldırılar genellikle, kurbanların siyah şapkalı Arama Motoru Optimizasyonu (SEO) teknikleri kullanılarak arama motoru sonuçlarından yönlendirildiği meşru ancak virüslü web sitelerinin kullanımını içerir. Yürütmenin ardından SocGholish, ikincil verileri almak için saldırgan tarafından kontrol edilen bir sunucuyla bağlantı kurar.
Geçtiğimiz yıl gibi yakın bir tarihte SocGholish kampanyaları, Yoast (CVE-2024-4984, CVSS puanı: 6,4) ve Rank Math PRO (CVE-2024-3665, CVSS puanı: 6,4) gibi popüler SEO eklentilerinin eski sürümlerine dayanan WordPress sitelerini hedef aldı. ) ilk erişim için.
GuidePoint Security tarafından araştırılan olayda, Python arka kapısının SocGholish aracılığıyla ilk enfeksiyondan yaklaşık 20 dakika sonra bırakıldığı tespit edildi. Tehdit aktörü daha sonra RDP oturumları aracılığıyla yanal hareket sırasında arka kapıyı aynı ağda bulunan diğer makinelere dağıtmaya devam etti.
“İşlevsel olarak komut dosyası, sabit kodlanmış bir IP adresine bağlanan bir ters proxy’dir. Komut dosyası, ilk komut ve kontrol (C2) anlaşmasını geçtikten sonra, ağırlıklı olarak SOCKS5 protokolünü temel alan bir tünel kurar.” güvenlik araştırmacısı Andrew Nelson şunları söyledi.
“Bu tünel, tehdit aktörünün kurbanın sistemini proxy olarak kullanarak ele geçirilen ağda yanal olarak hareket etmesine olanak tanıyor.”
Daha önceki bir sürümü ReliaQuest tarafından Şubat 2024’te belgelenen Python betiği, Aralık 2023’ün başlarından bu yana vahşi doğada tespit edildi ve tespit edilmekten kaçınmak için kullanılan gizleme yöntemlerini iyileştirmeyi amaçlayan “yüzey düzeyinde değişikliklere” tabi tutuldu.
GuidePoint ayrıca kodu çözülen komut dosyasının hem gösterişli hem de iyi yazılmış olduğunu belirtti; bu da kötü amaçlı yazılım yazarının ya yüksek düzeyde okunabilir ve test edilebilir bir Python kodu sağlama konusunda titiz olduğunu ya da kodlama görevine yardımcı olmak için yapay zeka (AI) araçlarına güvendiğini gösteriyor.
Nelson, “Yerel değişken gizleme haricinde, kod, oldukça açıklayıcı yöntem adları ve değişkenleri ile farklı sınıflara bölünmüş durumda” diye ekledi. “Her yöntem aynı zamanda yüksek düzeyde hata işleme ve ayrıntılı hata ayıklama iletilerine sahiptir.”
Python tabanlı arka kapı, fidye yazılımı saldırılarında tespit edilen tek öncül olmaktan uzaktır. Halcyon’un bu ayın başlarında vurguladığı gibi, fidye yazılımı dağıtımından önce kullanılan diğer araçlardan bazıları şunlardan sorumlu olanları içeriyor:
- EDRSilencer ve Backstab kullanarak Uç Nokta Algılama ve Yanıt (EDR) çözümlerini devre dışı bırakma
- LaZagne kullanarak kimlik bilgilerini çalmak
- MailBruter kullanarak kimlik bilgilerinin kaba kuvvet kullanılarak e-posta hesaplarının güvenliğinin aşılması
- Sirefef ve Mediyes’i kullanarak gizli erişimi sürdürmek ve ek yükler sağlamak
Kurban verilerini şifrelemek için Amazon Web Services’in Müşteri Tarafından Sağlanan Anahtarlarla (SSE-C) Sunucu Tarafı Şifrelemesinden yararlanarak Amazon S3 klasörlerini hedef alan fidye yazılımı kampanyaları da gözlemlendi. Faaliyet Codefinger adlı bir tehdit aktörüne atfedildi.
Saldırılar, oluşturulan anahtar olmadan kurtarmayı önlemenin yanı sıra, mağdurlara ödeme yapmaları için baskı yapmak amacıyla dosyaların S3 Nesne Yaşam Döngüsü Yönetimi API’si aracılığıyla yedi gün içinde silinmek üzere işaretlendiği acil fidye taktiklerini kullanıyor.
Halcyon, “Tehdit aktörü Codefinger, S3 nesnelerini yazma ve okuma izinleriyle birlikte kamuya açıklanmış AWS anahtarlarını kötüye kullanıyor” dedi. “AWS yerel hizmetlerini kullanarak, hem güvenli hem de işbirliği olmadan kurtarılamaz bir şekilde şifreleme elde ediyorlar.”
Gelişme, SlashNext’in, Black Basta fidye yazılımı ekibinin kurbanların gelen kutularını haber bültenleri veya ödeme bildirimleriyle ilgili 1.100’den fazla meşru mesajla doldurmak için kullandığı e-posta bombalama tekniğini taklit eden “hızlı saldırı” kimlik avı kampanyalarında bir artışa tanık olduğunu söylemesinin ardından geldi.
Şirket, “Daha sonra, insanlar bunaldıklarını hissettiklerinde, saldırganlar telefon çağrıları veya Microsoft Teams mesajları yoluyla saldırıyor ve basit bir düzeltmeyle şirketin teknik desteği gibi görünüyorlar” dedi.
“Güven kazanmak için güvenle konuşuyorlar ve kullanıcıları TeamViewer veya AnyDesk gibi uzaktan erişim yazılımlarını yüklemeye yönlendiriyorlar. Bu yazılım bir cihaza yüklendikten sonra saldırganlar sessizce içeri sızıyor. Buradan zararlı programlar yayabilir veya cihazın diğer alanlarına gizlice girebilirler. ağ, doğrudan hassas verilere giden yolu temizliyor.”