Eğitim ve eğlence sektörlerini hedef alan Fog Ransomware grubu, saldırganların ele geçirilmiş VPN kimlik bilgilerini kullanarak hem Windows hem de Linux uç noktalarını hedef alan fidye yazılımını dağıtmak için kapsamını genişleterek finansal hizmetler kuruluşlarına saldırdı.
Fidye yazılımının faaliyetini tespit ederek etkilenen makineleri izole etti, böylece veri şifrelemesi ve hırsızlığı önlendi.
Saldırının Rusya’daki IP adreslerinden kaynaklanması, olası maskeleme teknikleri nedeniyle saldırının kesin olarak belirli bir coğrafi konuma atfedilmesini sağlayamıyor.
STOP/DJVU’nun bir çeşidi olan Fog fidye yazılımı, öncelikle eğitim ve eğlence sektörlerini hedef alarak ağlara sızmak için ele geçirilmiş VPN kimlik bilgilerini kullanıyor.
Yönetici erişimi elde edildikten sonra güvenlik önlemlerini devre dışı bırakıyor, VMDK’ları şifreliyor ve yedekleri siliyor; böylece kurbanlara sınırlı seçenekler bırakıyor.
‘.FOG’ veya ‘.FLOCKED’ gibi uzantılarla işaretlenen fidye yazılımı, Tor ağ platformu üzerinden fidye talep ediyor.
Geleneksel APT gruplarından farklı olarak Fog’un kökeni belirtilmemiş, bu da yeni ve oldukça yetenekli bir tehdit aktörünün varlığını akla getiriyor.
Saldırganlar, ağ keşiflerine çeşitli ağ cihazlarına ping istekleri göndererek ve sonuçları ‘pings.txt’ ve ‘pingw.txt’ adlı metin dosyalarına kaydederek başladı.
Tehlikeye atılmış hizmet hesaplarından elde edilen yükseltilmiş ayrıcalıkları kullanarak, açık bağlantı noktalarını tespit etmek için ağ ana bilgisayarlarını tarayan ve hizmetleri hakkında ayrıntılı bilgi toplayan ‘Advanced_Port_Scanner_2.5.3869(1).exe’ aracını kullandılar; bu da onların ağa olası güvenlik açıklarını ve giriş noktalarını tespit etmelerine olanak sağladı.
Adlumin ekibi, saldırganların ağda gezinmek için ele geçirilen hizmet hesaplarını ve etki alanı güven ilişkilerini istismar ettiği saldırıyı başlatan bir Rus IP adresinin korumasız bir sistemi tehlikeye attığını keşfetti.
Etki alanı güven ilişkileri hakkında bilgi toplamak için ‘nltest /domain_trusts’ komutunu çalıştırdılar. Daha sonra, ağ sürücülerini eşlemek ve diğer cihazlardaki klasörleri paylaşmak için ‘SharpShares.exe’ ikilisini kullandılar ve ağ içinde daha fazla yanal hareketi kolaylaştırdılar.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Saldırgan, Google Chrome kullanıcı profili klasöründe saklanan oturum açma verilerinin yedeğini oluşturmak için `esentutl.exe` komut satırı aracını kullandı. Bu yedek, çeşitli web sitelerine ait şifrelenmiş kimlik bilgilerini de içeriyordu.
Yedekleme, aynı dizindeki geçici bir dosyaya kaydedildi; bu da saldırganın daha sonra şifre çözme tekniklerini kullanarak kimlik bilgilerini çıkarmasına olanak sağladı.
Saldırgan, belirli dosya türleri hariç olmak üzere yakın zamanda değiştirilen verileri tehlikeye atılmış sistemlerden seçici olarak senkronize etmek için bir dosya transfer aracı olan Rclone’dan yararlandı.
Daha sonra, saldırı için muhtemelen benzersiz bir tanımlayıcı içeren “-id” anahtarıyla “locker.exe”yi çalıştırdılar; “-target” anahtarı ise veri sızdırma için bir ağ paylaşımını belirtiyordu.
Son olarak saldırganlar, yedeklerden dosya kurtarmayı engelleyen gölge kopyaları ortadan kaldırmak için WMIC ve PowerShell komutlarını kullandılar; bu, kurbanları fidye ödemeye zorlamak için veri hırsızlığını şifrelemeyle birleştiren çok yönlü bir yaklaşım olduğunu gösteriyor.
Güvenlik ekibi, Fog fidye yazılımı saldırısı sonucu tehlikeye atılan uç noktaları belirleyip izole etti ve yetkisiz erişime izin veren kötü amaçlı ikili dosyalar ve savunmasız uç noktalar buldu.
Riskleri azaltmak için; MFA uygulanması, VPN yazılımının güncellenmesi, VPN erişiminin izlenmesi, uç nokta izolasyonunun otomatikleştirilmesi, kapsamlı bir güvenlik platformu kullanılması, gereksiz servislerin devre dışı bırakılması, verilerin düzenli olarak yedeklenmesi, en az ayrıcalık ilkesinin uygulanması, güvenlik denetimleri yapılması, olay müdahale planlarının oluşturulması ve ağ trafiğinin izlenmesi önerilmiştir.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!