Güvenlik araştırmacıları, şimdi yüksek hedefli saldırılarda fidye yazılımlarını dağıtmak için kullanılan Shadowpad kötü amaçlı yazılım ailesinde önemli bir evrimi ortaya çıkardılar.
Çin tehdit aktörlerine bağlı modüler kötü amaçlı yazılım olan Shadowpad, tarihsel olarak siber casusluk ile ilişkilendirilmiştir.
Bununla birlikte, son olaylar genişletilmiş yeteneklerini ortaya koyarak fidye yazılımı dağıtımına endişe verici bir kayma işaret ediyor.
Olay analizi ve enfeksiyon vektörleri
Avrupa’daki son iki vaka, daha önce bildirilmemiş bir fidye yazılımı ailesi için bir dağıtım mekanizması olarak ShadowPad’in kullanımını vurgulamaktadır.
Saldırganlar, zayıf şifrelerden yararlanarak ve çok faktörlü kimlik doğrulamasını (MFA) atlayan uzaktan saldırılar yoluyla mağdurların ağlarına erişim sağladı.
Bir örnekte, MFA potansiyel olarak çalıntı sertifikaları içeren bilinmeyen bir yöntemle atlatıldı.
Ağın içine girdikten sonra, saldırganlar, alan denetleyicileri gibi kritik sistemlere ShadowPad’i dağıtmak için idari ayrıcalıklardan yararlandı.
Fidye yazılımı bileşeni, etkilenen dosyalara “.locked” bir uzantı ekleyen AES ve RSA algoritmalarının bir kombinasyonunu kullanarak dosyaları şifreler.
İlginç bir şekilde, fidye notları, muhtemelen yanıltıcı analistlere bilinen fidye yazılımı belgelerinin yapısını taklit ediyor.
Bu çabalara rağmen, şimdiye kadar saldırganlar için sınırlı finansal başarı olduğunu düşündüren hiçbir fidye ödemesi gözlenmemiştir.
Endüstriler arasında geniş hedefleme
Son yedi ay boyunca, 15 ülkede en az 21 kuruluş ShadowPad kullanılarak hedef alınmıştır.
İmalat sektörü, olayların yarısından fazlasını oluşturarak orantısız bir şekilde etkilenmiştir.
Etkilenen diğer endüstriler arasında ulaşım, yayıncılık, enerji ve bankacılık yer alıyor.
Coğrafi kapsam, Avrupa, Asya, Orta Doğu ve Güney Amerika’yı kapsıyor ve bu kampanyanın küresel erişiminin altını çiziyor.
ShadowPad’in en son sürümü, tespit ve karmaşık analizden kaçınmayı amaçlayan çeşitli güncellemeler içerir:
- Gizli: Geliştirilmiş kod gizleme teknikleri ters mühendisliği daha zor hale getirir.
- Anti-Kötülükleme Önlemleri: Kötü amaçlı yazılım, hata ayıklama ortamlarını tespit etmek için birden fazla kontrol kullanır ve tespit edilirse kendini sonlandırır.
- HTTPS üzerinden DNS (DOH): Bu özellik, DNS sorgularını şifreleyerek komut ve kontrol (C&C) iletişimini gizler.
- Kayıt Defteri Şifrelemesi: Yükler, hacim seri numaralarından türetilen makineye özgü tuşlar kullanılarak şifrelenir ve adli analizi daha da engeller.
Trend Micro’ya göre, bu gelişmeler, içerik oluşturucularının ShadowPad’in gelişen siber güvenlik savunmalarına karşı etkinliğini korumak için devam eden kalkınma çabalarını yansıtıyor.
ShadowPad geçmişte APT41 gibi Çin Gelişmiş Kalıcı Tehdit (APT) gruplarıyla bağlantılı olsa da, araştırmacılar bu son fidye yazılımı dağıtımlarını belirli bir aktöre kesin olarak bağlamamışlardır.
Teleboyi gibi diğer Çin tehdit aktörlerine zayıf bağlantılar kaydedildi, ancak sonuçsuz kaldı.
Casusluk ve fidye yazılımı için ShadowPad’in ikili kullanımı çok yönlülüğünü vurgular ve gelecekteki kampanyalarda potansiyel kötüye kullanımı hakkında endişelerini dile getirir.
Kritik endüstrilerdeki kuruluşların, sağlam şifre politikaları uygulayarak, çok faktörlü kimlik doğrulamasını uygulayarak ve ShadowPAD aktivitesi ile ilişkili uzlaşma göstergelerinin izlenmesini izleyerek siber güvenlik duruşlarını güçlendirmeleri tavsiye edilir.
Bu gelişme, finansal olarak motive olmuş siber suçlarla ulus-devlet taktiklerinin artan yakınsamasının altını çizerek küresel işletmeler için giderek daha karmaşık bir tehdit manzarasına işaret ediyor.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here