RDP erişimi kazanmak ve blacksuit fidye yazılımını dağıtmak için bilgisayar korsanları tarafından kullanılan silahlı zoom yükleyicisi


Siber güvenlik araştırmacıları, tehdit aktörlerinin sistemlere sızmak, uzak masaüstü protokolü (RDP) erişimini kazanmak ve nihayetinde blacksuit fidye yazılımlarını dağıtmak için bir truva atlama yükleyicisini kullandıkları sofistike bir saldırı kampanyası ortaya çıkardılar.

Operasyon, algılamadan kaçınmak ve etkiyi en üst düzeye çıkarmak için tasarlanmış oldukça koordineli, çok aşamalı bir kötü amaçlı yazılım dağıtım zincirini göstermektedir.

Çok aşamalı kötü amaçlı yazılım dağıtım

Saldırı, meşru zoom uygulama sayfasına benzeyen klonlanmış bir web sitesinde barındırılan sahte bir zoom yükleyicisi ile başladı.

Silahlı zoom yükleyici Silahlı zoom yükleyici
ZoomManager üzerinden ilk kötü amaçlı zoom[.]com

Yükleyiciyi indiren kullanıcılar bilmeden “D3F@CKLoader” indiricisi ile gömülü bir kötü amaçlı program yürüttü.

Bu yükleyici, güvenlik önlemlerinin devre dışı bırakılması, Pastebin aracılığıyla komut ve kontrol (C2) sunucularına bağlanma ve ek yükler indirme gibi bir dizi adım başlattı.

Bunlar arasında, kalıcılık oluşturmak ve saldırının daha fazla aşamasını kolaylaştırmak için msbuild.exe gibi meşru süreçlere enjekte edilen Sectoprat kötü amaçlı yazılım vardı.

Sekiz günlük bir bekleme süresinden sonra, Sectoprat, keşif ve kimlik bilgisi hasadı için Brute Ratel ve Cobalt grev yükü kullandı.

DFIR raporuna göre, bu araçlar, QDoor adlı bir proxy kötü amaçlı yazılımdan tünellenen Psexec ve RDP bağlantıları kullanarak ağ boyunca yanal hareket sağladı.

QDoor, saldırganların tehlikeye atılan sistemler aracılığıyla trafiği yönlendirerek ağ savunmalarını atlamasına izin verdi.

Veri Defiltrasyonu ve Fidye Yazılımı Dağıtım

Ağın içine girdikten sonra, saldırganlar hassas dosyaları sıkıştırmak ve bunları BuBlup adlı bulut tabanlı bir depolama hizmetine eklemek için Winrar kullandılar.

Veri açığa çıktıktan sonra, dağıtım için blacksuit fidye yazılımı hazırladılar. Toplu komut dosyaları ve Psexec kullanılarak fidye yazılımı, çevredeki tüm Windows ana bilgisayarlarına dağıtıldı.

Dosyaları şifreledi, kullanarak silinmiş Gölge kopyaları vssadminve ödeme talep eden fidye notları.

Tüm işlem dokuz gün sürdü, yaklaşık 194 saatlik ransom yazılımları (TTR) ile.

Saldırganlar, DLL kaçırma, LSASS belleğinden kimlik bilgisi boşaltma ve gizli yürütme için API istismarı gibi gelişmiş tekniklerden yararlandı.

Silahlı zoom yükleyici Silahlı zoom yükleyici
Yürütme grafiği

Bu olay, sosyal mühendisliği (sahte montajcılar aracılığıyla) Brute Ratel ve Cobalt Strike gibi gelişmiş sömürü sonrası çerçevelerle birleştiren fidye yazılımı kampanyalarının artan karmaşıklığını vurgulamaktadır.

Kuruluşlardan uç nokta algılama yeteneklerini geliştirmeleri, olağandışı ağ trafik modellerini izlemeleri ve kullanıcıları klonlanmış web sitelerini içeren kimlik avı denemelerini belirleme konusunda eğitmeleri istenir.

Saldırganlar, birden fazla kötü amaçlı yazılım suşu kullanarak ve RDP ve Winrar gibi meşru araçlardan yararlanarak, hedeflerine ulaşırken geleneksel savunmalardan kaçınabildiler.

Bu dava, gelecekte benzer saldırıları azaltmak için proaktif tehdit avcılık ve sağlam olay müdahale mekanizmalarına duyulan ihtiyacın altını çizmektedir.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link