Esentirin Tehdit Müdahale Birimi (TRU), Mart 2025’in başlarında, FakeUpdates olarak da bilinen Socgholish kötü amaçlı yazılımlardan yararlanan sofistike bir siber saldırı, kurumsal ağları hedefleyen ortaya çıktı.
Bu saldırı, 2024 yılında ortaya çıkan Ransomhub-A Hizmet Olarak Fidye Yazılımı (RAAS) grubu bağlı kuruluşları tarafından düzenlenen bu saldırı, yüksek profilli örgütlere sızmak için hesaplanmış bir yaklaşımı düşünmektedir.
İlk vektör olarak Socgholish kötü amaçlı yazılım
Ransomhub, yasadışı hizmetlerini Dark Web Forumu Rampası’nda (Rus Anonim pazar yeri), veri açığa çıkmasına ve gasp üzerine odaklanıyor.
.png
)
Enfeksiyon zinciri, “Butterflywonderland[.]com, ”kullanıcıları“ update.zip ”adlı kötü amaçlı bir dosya indirmeye kandırdı.
Bu dosya, bir Socgholish Komutu ve Kontrol (C2) sunucusu ile iletişim başlatan bir JScript komut dosyası olan “Update.js” içeriyordu.[.]com ”, ürün () işlevi aracılığıyla sonraki yükleri almak ve yürütmek için.
Teknik derinlik: Çok aşamalı kötü amaçlı yazılım dağıtım ve kaçırma taktikleri
Socgholish betiği, URL kodlu ve HTTP Post istekleri aracılığıyla C2 sunucusuna iletilen alan adı, kullanıcı adı, bilgisayar adı ve işlemci mimarisi gibi kritik sistem bilgilerini toplayan bir dizi keşif adımı yürüttü.
Net.exe ve SystemInfo gibi arazi ikili dosyalarından (LOLBINS) yaşamı kullanan kötü amaçlı yazılımlar ağ ve sistem ayrıntıları toplarken, PowerShell komutları Active Directory’de numaralandırılmış sunucuları ve Microsoft Edge ve Google Chrome’dan, depolanmış hassas veriler için şifreleme tuşlarından çıkarılan tarayıcı kimlik bilgilerini çıkardı.
İlk temastan yaklaşık 6,5 dakika içinde, Python tabanlı bir arka kapı alındı, “Python3.12.zip” olarak yeniden adlandırıldı, açıldı ve planlanmış bir görevle yürütüldü.
“Fcrapvim.pyz” olarak tanımlanan bu arka kapı, algılamayı önlemek için sanal makine ortamlarını kontrol etmek ve hata ayıklama süreçlerini kontrol ederek gelişmiş gizleme ve kaçırma teknikleri kullandı.
Şifre çözme işlemi, analize karşı karmaşık bir katmanlı savunma sergileyen Base85 kod çözme, AES-256 (GCM), AES-128 (CTR), ChaCha20 şifrelemesi ve ZLIB enflasyonu dahil olmak üzere birçok aşamayı içeriyordu.
Son aşama, “38.146.28’de bir tehdit aktör sunucusuyla bağlantı kurdu[.]93, ”Sokakların Micro’nun benzer TTP’ler hakkındaki raporlarından elde edilen bulgularla uyumlu olarak keşif ve yanal hareket için proxy işlevselliği sağlamak.
Esentir Report’a göre, bu saldırı, keşif sonrası değerli hedefleri belirlemek için geniş bir ağ oluşturan Ransomhub iştiraklerinin stratejik sabrının altını çiziyor, sanal alan ortamlarını ve güvenlik araştırmacılarını atlıyor.
Socgholish’in başlangıç erişim vektörü olarak dağıtılması, kalıcı erişim için bir Python arka kapısı ile birleştiğinde, gizli ve etki için tasarlanmış çok aşamalı yüklerin bir eğilimini vurgular.
Kuruluşlar, beklenmedik planlanmış görevler veya bu kampanyada tanımlananlar gibi şüpheli alanlara/IP’lere ağ trafiği gibi anormal davranışları tanımlamak için uç nokta algılama ve yanıt (EDR) çözümlerine öncelik vermelidir.
WordPress gibi web platformlarının düzenli yaması, kimlik avı ve sosyal mühendislik taktikleri konusunda çalışan eğitimi ve sağlam kimlik bilgisi koruma mekanizmaları bu tür tehditleri azaltmak için kritik öneme sahiptir.
Elit tehdit avcıları ve TRU ekibi tarafından desteklenen Esentire’nin 7/24 Güvenlik Operasyon Merkezleri (SOCS), rakiplerin geleneksel programların ötesinde çalıştığı bir dönemde proaktif siber güvenlik ihtiyacını güçlendirerek bu tür olayları izlemeye ve yanıtlamaya devam ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!