DFIR Report’un tehdit Intel Group’tan siber güvenlik araştırmacıları, 2014.48.154.79:80’de barındırılan ve 2014 ortalarında ortaya çıkan sis fidye yazılım grubunun bir iştiraki tarafından işletildiğine inanılan açık bir dizin ortaya çıkardı.
Bu halka açık sunucu, keşif, sömürü, kimlik bilgisi hırsızlığı, yanal hareket ve kalıcılık için tasarlanmış sofistike bir araç ve senaryo cephaneliği ortaya koydu.
Araç seti, fidye yazılımı iştiraklerinin operasyonel taktikleri hakkında ürpertici bir fikir verir, Avrupa, Kuzey Amerika ve Güney Amerika’daki teknoloji, eğitim ve lojistik sektörleri de dahil olmak üzere birçok endüstri ve coğrafi arasında ağlara nüfuz etme ve tehlikeye atma yeteneklerini izler.
.png
)
Active Directory ve VPN güvenlik açıklarından yararlanma
Bu dizinin içeriğine daha derinlemesine giren araç seti, Active Directory (AD) güvenlik açıklarından yararlanmak ve tehlikeye atılan Sonicwall VPN kimlik bilgileri aracılığıyla başlangıç erişimi elde etmek için özel yardımcı programlar içerir.
Sonic_scan.zip adlı bir zip dosyasında bulunan Sonicwall tarayıcı gibi araçlar, IP adresleri, kullanıcı adları, şifreler ve alan adları içeren yapılandırılmış bir veri.txt dosyasından kimlik bilgilerini kullanarak VPN cihazlarına kimlik doğrulama işlemini otomatikleştirin.
Sonicwall’un NetExtender yardımcı programı aracılığıyla bağlandıktan sonra, komut dosyası açık bağlantı noktalarını tanımlamak için NMAP taramalarını tetikler ve daha fazla ağ keşfi kolaylaştırır.
Ayrıca, dizin, yüksek pratik hesap taklit edilmesi için savunmasız sertifika şablonlarını belirleyerek ve kullanarak Active Directory Sertifika Hizmetlerini (AD CS) kötüye kullanmak için tasarlanmış CertiPy gibi saldırgan araçlara barındırdı.
Zerologon güvenlik açığı (CVE-2020-1472) için bir kavram kanıtı olan Zer0Dump, Netlogon’un AES-CFB8 uygulamasındaki kriptografik zayıflıklar yoluyla alan adlı yönetici ayrıcalıkları kazanmayı hedefleyen Zerologon güvenlik açığı (CVE-2020-1472).
Saldırı yeteneklerini daha da geliştirmek, Pachine ve NOPAC gibi araçlar, CVE-2021-42278 ve CVE-2021-42287 gibi reklam güvenlik açıklarını, Kerberos Ayrıcalık Nitelik Sertifikası’nı (PAC) manipüle ederek imtiyazları artırmak ve İktidarda Borçlu Saldırganlar Domian Yöneticileri’ni sağlayarak ayrıcalıkları artırır.
Kimlik bilgisi hırsızlığı, tarayıcı kimlik bilgileri ve etki alanı yedekleme anahtarları gibi Windows DPAPI korumalı verileri çıkaran Donpapi ve Impacket’in DPAPI.py tarafından kolaylaştırıldı.
Kalıcılık için, any.ps1 adlı bir PowerShell komut dosyası, bir uzak izleme aracı olan AnyDesk’in kurulumunu otomatikleştirir ve sürekli uzaktan erişim için sabit kodlu bir şifre ile önleme yapar.
Dizin ayrıca, 31337 bağlantı noktasında kısaca gözlemlenen, gizli trafik yönlendirme için proxychains ve ters kabuklar ve tünel verileri oluşturmak için Powercat’in yanı sıra, saldırganların tespitten kaçınma yeteneğini artıran Saldırı ve Kontrol İşlemleri için Sliver C2 bileşenlerini barındırdı.
DFIR raporuna göre, bu pozlama sadece sis fidye yazılımı bağlı kuruluşlarının teknik yeteneklerini vurgulamakla kalmaz, aynı zamanda bu tür gelişmiş tehditlere karşı koymak için sağlam uç nokta güvenliği ve yama yönetimine acil ihtiyacın altını çizer.
Dizinde kurban verilerinin varlığı, Fog’un özel sızıntı sitesindeki (DLS) girişleriyle ilişkili olması, ouroverde.net.br gibi kuruluşlar ve çeşitli sektörlerdeki diğerleri üzerindeki gerçek dünya etkisini güçlendirir.
Siber tehditler geliştikçe, bu olay işletmelerin aktif dizin ortamlarını ve VPN altyapılarını sömürüye karşı güçlendirmeleri için kritik bir hatırlatma görevi görürken, fidye yazılımı operasyonlarına bağlı uzlaşma göstergeleri için uyanık kalıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!