Rusça konuşan hackleme grubu Redcurl ilk kez bir fidye yazılımı kampanyasına bağlanmış ve tehdit oyuncusunun Tradecraft’ında bir kalkış işaret eder.
Romanya siber güvenlik şirketi Bitdefender tarafından gözlemlenen etkinlik, QWCrypt olarak adlandırılan daha önce hiç görülmemiş bir fidye yazılımı suşunun konuşlandırılmasını içermektedir.
Earth Kapre ve Red Wolf olarak da adlandırılan Redcurl, Kanada, Almanya, Norveç, Rusya, Slovenya, Ukrayna, Birleşik Krallık ve Amerika Birleşik Devletleri’nde çeşitli kuruluşlara yönelik kurumsal casusluk saldırılarını düzenleme geçmişine sahiptir. En azından Kasım 2018’den beri aktif olduğu biliniyor.
2020’de Grup-IB tarafından belgelenen saldırı zincirleri, kötü amaçlı yazılım dağıtım sürecini etkinleştirmek için İnsan Kaynakları (İK) temalı yemleri taşıyan mızrak aktı e-postalarının kullanımını gerektirdi. Bu Ocak ayının başlarında, Huntress, tehdit oyuncusu tarafından Kanada’daki çeşitli kuruluşları hedefleyen Redloader’ı “basit arka kapı yeteneklerine” sahip bir yükleyici dağıtmayı hedefleyen ayrıntılı saldırılar.
Geçen ay, Kanada siber güvenlik şirketi Esentire, Redcurl’un CVS gibi maskelenen spam PDF eklerini kullandığını ve meşru adobe yürütülebilir “adnotificationManager.exe” kullanarak yükleyici kötü amaçlı yazılımları eklemek için kimlik avı mesajlarındaki kapak mektuplarını kullandığını açıkladı.
Bitdefender tarafından detaylandırılan saldırı dizisi, çok aşamalı bir enfeksiyon prosedürünü başlatmak için CVS olarak gizlenmiş monte edilebilir disk görüntüsü (ISO) dosyalarını kullanarak aynı adımları izler. Disk içinde mevcut olan bir Windows ekran koruyucu (SCR) taklit eden bir dosya bulunur, ancak gerçekte, DLL yan yükleme kullanarak yükleyiciyi (“netutils.dll”) yürütmek için kullanılan adnotificationManager.exe ikilidir.
BitdeFender teknik çözümleri direktörü Martin Zugec, “İnfazdan sonra, netutils.dll hemen açık fiil ile bir Shellexecutea çağrısı başlattı ve kurbanın tarayıcısını https://secure.indeed.com/auth’a yönlendirdi.”
Diyerek şöyle devam etti: “Bu, mağduru sadece bir CV açtıklarını düşünmek için yanıltması için tasarlanmış hesaplanmış bir dikkat dağınıklığı olan meşru bir gerçekten oturum açma sayfası görüntüler. Bu sosyal mühendislik taktiği kötü amaçlı yazılımın tespit edilmemiş bir pencere sağladığı bir pencere sağlar.”
 |
| Görüntü Kaynağı: Esentir |
Yükleyici, bitdefender başına, aynı zamanda bir sonraki aşamalı arka kapı DLL için bir indirici görevi görürken, aynı zamanda planlanmış bir görev vasıtasıyla ev sahibinde kalıcılık oluşturur. Yeni alınan DLL daha sonra Mart 2024’te Trend Micro tarafından detaylandırılan bir teknik olan Program Uyumluluk Asistanı (PCALUA.EXE) kullanılarak yürütülür.
İmplant tarafından sağlanan erişim, tehdit oyuncusunun ağda gezinmesine, zeka toplamasına ve erişimlerini daha da artırmasına izin vererek yanal hareketin yolunu açar. Ancak, yerleşik modus operandilerinden büyük bir pivot gibi görünen bir saldırıda, böyle bir saldırı da fidye yazılımının ilk kez konuşlandırılmasına yol açtı.
Zugec, “Bu odaklanmış hedefleme, minimum çaba ile maksimum hasar verme girişimi olarak yorumlanabilir.” Dedi. Diyerek şöyle devam etti: “Redcurl, hipervizörlerde barındırılan sanal makineleri şifreleyerek, tüm sanallaştırılmış altyapıyı etkili bir şekilde devre dışı bırakarak, barındırılan tüm hizmetleri etkiliyor.”
Fidye yazılımı yürütülebilir, uç nokta güvenlik yazılımını devre dışı bırakmak için kendi savunmasız sürücü (BYOVD) tekniğinizi getirmenin yanı sıra, şifreleme rutini başlatmadan önce sistem bilgilerini toplamak için adımlar atar. Dahası, şifrelemeyi takiben düşen fidye notu, Lockbit, Hardbit ve mimik gruplardan ilham alıyor gibi görünüyor.
Zugec, “Mevcut fidye not metnini yeniden düzenleme uygulaması, Redcurl grubunun kökenleri ve motivasyonları hakkında sorular ortaya koyuyor.” Dedi. “Özellikle, bu fidye yazılımı ile ilişkili bilinen bir özel sızıntı alanı (DLS) yoktur ve fidye notunun gerçek bir gasp girişimini mi yoksa saptırmayı mı temsil edeceği belirsizliğini korumaktadır.”