Symantec araştırmacıları, bir Ransomhub iştirakinin Betruger olarak adlandırılan yeni bir çok fonksiyonlu arka kapıdan yararlandığını keşfetti.
Betrager arka kapı
Kötü amaçlı yazılımlar ekran görüntüleri, günlük tuşları, tarama ağları, döküm kimlik bilgileri alabilir, dosyaları bir komut ve kontrol (C2) sunucusuna yükleyebilir ve ayrıcalık artışı için kaldırılabilir.
Broadcom tarafından Symantec Tehdit Hunter ekibi ile baş istihbarat analisti Dick O’Brien, “Betruger, bir saldırı deneme girişiminde bulunurken bulundu. Oradan kullanıldığı yerde başka bir durum bulduk” dedi.
“İçinde kullanıldığı sınırlı sayıda saldırı, sadece bir bağlı kuruluş tarafından kullanılmış olabileceğini, ancak kim tarafından geliştirildiği açık bir sorudur.”
Betruger gibi çok fonksiyonlu bir arka kapı kullanmanın olası itici güç, saldırganların hedef ağlarda bekleme sürelerini azaltmasına izin vermektir: Birkaç aracı bırakmak yerine, sadece birini düşürebilirler.
Bu kötü amaçlı yazılımların saldırıyı daha “gürültülü” hale getirip getirmeyeceği görülüyor. Sonuçta, kötü amaçlı yazılım kullanmak, meşru araçları (örneğin, uzaktan izleme ve yönetim yazılımı) kullanmaktan biraz daha göze çarpabilir.
Saldırganlar, arka kapıyı meşru bir uygulama olarak maskelendirmek için çaba sarf etti, ancak gibi dosya adları mailer.exe Ve Turbomailer.exe.
Ransomhub İştirakleri ‘Araç Seti
Ransomhub, geçen yıl son derece aktif olan bir hizmet olarak fidye yazılımı.
Synantec araştırmacıları, “Grubun, fidye ödemelerinin büyük bir yüzdesi ve iştirakin operatörün kesimini geçmeden önce kurbanın ödendiği bir ödeme modeli gibi rakip operasyonlara kıyasla daha iyi şartlar sunarak birçok bağlı kuruluşu kazandığı bildirildi.
“Betruger, son aylarda Ransomhub iştirakleri tarafından kullanılan bir dizi araçtan sadece bir tanesidir. Artan sayıda fidye yazılımı saldırganı gibi, bazıları güvenlik çözümlerini devre dışı bırakmak için kendi savunmasız sürücü (byVod) tekniğinden yararlanan araçları kullanmaya başladı.”
Arsenallerinde olduğu bilinen araçlar arasında:
- Impacket (Uzaktan Servis Yürütme, Kerberos Manipülasyonu, Windows Kimlik Bilgisi Dökümü, vb. İçin)
- STOWAWAY PROXY ARACI (Proxy Network Trafiği için)
- RCLone (Veri Defiltrasyonu için)
- Mimikatz (kimlik bilgisi boşaltma için)
- ScreAnconnect, Atera, Splashtop ve TightVNC (hedef bilgisayarlara uzaktan erişim için)
- Netscan (ana bilgisayar adı ve ağ hizmeti keşfi için)
- SystemBC (C2 iletişimi için bir emtia arka kapısı).
Ayrıca, hedeflerin yedekleme altyapısına erişmek için kimlik bilgileri elde etmek için ayrıcalık artış ve CVE-2023-27532 için CVE-2022-24521’den yararlandılar.
Symantec, en son Ransomhub saldırılarıyla ilişkili uzlaşma göstergelerini paylaştı.