RomCom Grubu, Fidye Yazılımı Dağıtmak İçin Microsoft Office 0-day’i Kullanıyor


RomCom Office 0 Günlük Fidye Yazılımı

Storm-0978 lakaplı Rus grup RomCom, CVE-2023-36884 olarak tanımlanan Microsoft Office ve Windows HTML RCE sıfır günlük güvenlik açığından yararlanarak yeraltı fidye yazılımı dağıtıyor.

Bu fidye yazılımı, tipik fidye yazılımlarına benzer şekilde kurbanların Windows bilgisayarlarındaki dosyaları şifreliyor ve ardından dosyanın içeriğini açmak için ücret talep eden fidye notları bırakıyor.

DÖRT

Kampanya, kimlik avı teknikleriyle iletilen özel olarak hazırlanmış Microsoft Office belgelerinde bulunan uzaktan kod yürütme güvenlik açığı olan CVE-2023-36884’ten yararlandı.

Suç örgütünün kullanabileceği diğer popüler enfeksiyon vektörleri arasında e-posta ve İlk Erişim Aracısı’ndan (IAB) erişim satın almak yer alıyor.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial

Saldırı Nasıl Gerçekleştiriliyor?

Fortinet, Underground fidye yazılımının çalıştırıldıktan sonra gölge kopyaları kaldırdığını belirtiyor.

RemoteDesktop/TerminalServer oturumunun sunucuda etkin kalması için en uzun süre 14 gündür; bu, fidye yazılımının belirlediği süredir (kullanıcının bağlantısını kesmesinden sonra 14 gün).

MS SQL Server hizmeti daha sonra sonlandırılır. Sonra, fidye yazılımı tarafından “!!readme!!!.txt” adlı bir fidye notu oluşturulur ve bırakılır:

Fidye notunda, “Dosyalarınız şu anda şifrelenmiş durumda, yalnızca bizde bulunan şifre çözücü anahtarla orijinal hallerine geri döndürülebilirler” ifadesi yer alıyor.

“Anahtar sunucumuzdaki tek bir kopyadadır. Verileri kendi çabalarınızla kurtarmaya çalışmanız veri kaybına neden olabilir”.

Fidye Notu

Özellikle fidye yazılımı temp.cmd dosyasını oluşturuyor ve çalıştırıyor, bu da kötü amaçlı yazılımın orijinal dosyasını kaldırıyor ve silmeden önce Windows Olay günlüklerinin bir listesini elde ediyor.

Underground fidye yazılımı tarafından yönetilen bir veri sızıntısı web sitesi, kurbanlardan çalınan veriler de dahil olmak üzere kurbanların verilerini yayınlıyor.

En son kurban 3 Temmuz 2024’te eklendi ve şu anda veri sızıntısı web sitesinde listelenen 16 kurban bulunuyor.

Etkilenen sektörler arasında ABD, Fransa, Kore, İspanya, Slovakya, Tayvan, Singapur ve Kanada’dan inşaat, bankacılık, ilaç, profesyonel hizmetler, tıp, imalat ve iş hizmetleri yer alıyor.

Ayrıca veri sızıntısı web sitesinde, fidye yazılımı grubunun hedef aldığı veya hedef alabileceği sektörlerin bir listesinin yer aldığı bir açılır menü de yer alıyor.

Grubun hedeflediği endüstrilerin listesi

21 Mart 2024’te Underground fidye yazılımı grubu bir Telegram kanalı kurdu. Siber suçlular, kurbanlardan çaldıkları bilgileri yayınlamak için bir bulut depolama hizmeti sağlayıcısı olan Mega’yı kullandılar.

Bu nedenle, kesintilerin meydana gelme kolaylığı, bunların normal operasyonlara verebileceği zarar, bir kuruluşun itibarına gelebilecek olası zarar ve kişisel olarak tanımlanabilir bilgilerin (PII) istenmeyen şekilde silinmesi veya yayınlanması nedeniyle tüm AV ve IPS imzalarının güncel tutulması önemlidir.

What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!



Source link