Tehdit aktörleri, güvenlik önlemleriyle tespit edilmekten kaçınmak amacıyla meşru alan adlarından yararlanarak kötü amaçlı içerik barındırmak için saldırıya uğramış alan adı kontrolünü kullanır.
Anti-AV taktikleri, kötü amaçlı kodun tespit edilmeden yürütülmesini sağlayan antivirüs yazılımını ve araçlarını atlatmak için kullanılır.
Tüm bu taktikler bir arada siber saldırıların gizliliğini ve etkinliğini artırarak tehdit aktörlerinin sistemleri tehlikeye atmasına ve hassas bilgileri daha kolay çalmasına olanak tanır.
Son zamanlarda Trend Micro'daki siber güvenlik araştırmacıları, RA World (önceki adıyla RA Group) fidye yazılımının, saldırıya uğramış etki alanları ve Anti-AV taktikleri kullanarak Windows'a saldırdığını keşfetti.
RA Dünya Fidye Yazılımı Saldırısı
Bir zamanlar RA Group olarak bilinen RA World fidye yazılımı, Nisan 2023'te küresel organizasyonlara sızdı.
Araştırmacılar, bu fidye yazılımı grubunun esas olarak ABD firmalarını hedef aldığını ancak ABD firmalarının yanı sıra şunları da hedef aldığını belirledi:
Bu fidye yazılımı grubu esas olarak sağlık, sigorta ve finans işletmelerini hedef alıyor.
RA World operatörlerinin güvenliği ihlal edilmiş etki alanı denetleyicileri aracılığıyla yaptığı ihlal, SYSVOL'deki bileşenlerin GPO için bırakılmasına olanak tanıdı.
Stage1.exe'nin PowerShell aracılığıyla dağıtımı, komut dosyası yürütülmesine olanak tanıyan değiştirilmiş Grup İlkesi ayarlarını gösterdi.
Kötü amaçlı yazılım, Grup İlkesi'ne sızmış ve etki alanı içindeki birden fazla makinede çalışmasına izin vermiş olabilir.
.webp)
Burada Stage1.exe, eşleşen ana bilgisayar adları gibi koşulların karşılanması durumunda durdurarak etki alanı denetleyicilerini tarar.
Ayrıca %WINDIR%\Help dosyasında Finish.exe ve Exclude.exe dosyalarını da kontrol eder; bu, geçmişteki güvenlik ihlali veya dışlamayı gösterir.
.webp)
Fidye yazılımı %WINDIR%\Help'te Stage2.exe'yi kontrol eder.
Eğer yoksa, pay.txt ve Stage2.exe'yi sabit kodlanmış bir SYSVOL Yolundan kopyalar; bu, şirket etki alanı adıyla hedefli bir saldırıyı gösterir.
Bu strateji, başlangıçta yükün bir makinede bulunmasını, ardından Grup İlkeleri aracılığıyla diğerlerinde yürütülmesini içerir; bu, hedeflenen ağı tehlikeye atmak için çok aşamalı bir yaklaşımın ortaya çıkarılmasına yardımcı olur.
- T1543.003 – Program güvenli modu kontrol eder, ardından Stage2.exe ile MSOfficeRunOncelsls hizmetini oluşturarak bunu Ağ İletişimi ile Güvenli Mod için yapılandırır.
- T1562.009 – BCD'yi Güvenli Mod için yapılandırır, makineyi başlatır. Zaten Güvenli Mod'daysa Stage2.exe, pay.txt dosyasının şifresini fidye yazılımı yükü olan Stage3.exe'ye çözer.
- T1070.004 – Yürütme sonrasında temizleme işlemi, kalıntıları siler ve kayıt defteri anahtarlarını oluşturur.
Aşama 3'te RA World fidye yazılımı (Stage3.exe), muteksi oluşturan Finish.exe dosyasını dağıtır ve bırakır.
Fidye notu, gasp taktiklerinin son kurbanlarının bir listesini içeriyor.
.webp)
T1485 – RA World, disk bilgisi için WMIC kullanarak ve bir günlük bırakarak Trend Micro klasörünü silmek için SD.bat'ı dağıtır.
Bunun yanı sıra, T1070 – Silindikten sonra fidye yazılımı, Ağ seçeneğiyle Güvenli Modu kaldırır. T1529 – Bilgisayarı zorla yeniden başlatır.
Babuk 2021'de 'emekliye ayrıldı' ancak sızdırılan kaynak kodu, RA World gibi yeni tehditleri körüklüyor. Hizmet Olarak Fidye Yazılımıyla birlikte bu, daha az vasıflı siber suçluların giriş engelini azaltır.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Yönetici haklarını çalışanlara sınırlayın.
- Güvenlik ürünlerini güncel tutun.
- Temel verileri düzenli olarak yedekleyin.
- E-postalar, ekler, URL'ler ve program yürütme konusunda dikkatli olun.
- Kullanıcıları şüpheli e-postaları ve dosyaları derhal bildirmeye teşvik edin.
- Kullanıcıları sosyal mühendislik riskleri konusunda düzenli olarak eğitin.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan