Arctic Wolf Labs, ele geçirilen VPN erişimi yoluyla başta eğitim ve eğlence alanında olmak üzere ABD kuruluşlarını vuran “Fog” adlı yeni bir fidye yazılımı çeşidini ortaya çıkardı.
İlk olarak 2 Mayıs 2024’te tespit edilen saldırılar, uzaktan erişim araçlarındaki güvenlik açıklarını ve bunları istismar etmek için kullanılan hızlı şifreleme taktiklerini öne çıkarıyor.
Arctic Wolf’un Olay Müdahale ekibi, Mayıs 2024’ün başından itibaren tamamı ABD’li mağdurları kapsayan çok sayıda vakayı araştırdı: %80 eğitim sektörü, %20 eğlence sektörü.
Tehdit aktörleri, adı açıklanmayan iki satıcının güvenliği ihlal edilmiş VPN kimlik bilgilerini kullanarak giriş elde etti ve son etkinlik 23 Mayıs 2024’te kaydedildi.
Tipik fidye yazılımı gruplarının aksine Fog, şifreleyici geliştiricilerini yapısı belirsizliğini koruyan operatörlerden ayıran bir “varyant” olarak adlandırılıyor.
Saldırı Zinciri ve Taktikler
Davetsiz misafirler hızla ayrıcalıkları artırdı. Bir durumda, RDP için karma hedefli yönetici hesaplarını Hyper-V ve Veeam sunucularına iletin.
Kimlik bilgisi doldurma, başka yerlerde yanal harekete yardımcı oldu. PsExec, erişim için RDP ve SMB ile ana bilgisayarlara yayıldı. Windows Defender sunucularda devre dışı bırakıldı; VM deposundaki VMDK dosyaları şifrelenir; Veeam nesne depolama yedekleri silindi.
Aynı metni kaydeden benzersiz sohbet kodlarını içeren sistemlere bırakılan fidye notları, bir .onion sitesine bağlantı vererek hiçbir veri sızıntısı sitesi gözlemlenmedi. Uzantılar .FOG veya .FLOCKED ile işaretlenmiş şifrelenmiş dosyalardır.
Şifreleyici, kod bloklarını örnekler arasında paylaşarak ortak bir kaynak olduğunu düşündürür. %AppData%’da DbgLog.sys’de oturum açar, iş parçacığı tahsisi için NtQuerySystemInformation aracılığıyla sistem bilgilerini sorgular (2-16 işlemci).
JSON yapılandırması, ön şifrelemeyi ortadan kaldırmak için RSAPubKey, LockedExt, not adını (readme.txt), işlemleri/hizmetleri belirler.
Discovery, FindFirstVolume gibi Windows API’sini kullanır. Şifreleme, kullanımdan kaldırılmış CryptImportKey/CryptEncrypt’i kullanır. Şifreleme sonrası: vssadmin gölgeleri siler / tümünü / sessiz gölge kopyaları siler.
| Taktik | Teknik | Araçlar/Alt teknikler |
|---|---|---|
| İlk Erişim | T1133 Harici Uzaktan Hizmetler, T1078 Geçerli Hesaplar | Güvenliği ihlal edilmiş VPN kimlik bilgileri |
| Keşif | T1046 Ağ Hizmeti Keşfi, T1135 Ağ Paylaşımı Keşfi | SoftPerfect Ağ Tarayıcısı, Gelişmiş Bağlantı Noktası Tarayıcısı, SharpShares arcticwolf |
| Yanal Hareket | T1021 Uzaktan Hizmetler (RDP/SMB), T1570 Yanal Takım Transferi | PsExec kutup kurdu |
| Kimlik Bilgisi Erişimi | T1003 İşletim Sistemi Kimlik Bilgilerinin Boşaltılması (NTDS), T1555 Parola Depoları, T1110 Kaba Kuvvet | Veeam-Get-Creds.ps1, kimlik bilgisi doldurma kutup kurdu |
| Savunmadan Kaçınma | T1562 Savunmaları Zayıflatma (Windows Defender), T1550 Hash kutup kurdunu geçme | |
| Darbe | T1486 Şifrelenmiş Veri, T1490 Kurtarmayı Engelleme (vssadmin) arcticwolf |
Uzlaşma Göstergeleri
| Tip | Gösterge |
|---|---|
| SHA1 | f7c8c60172f9ae4dab9f61c28ccae7084da90a06 (lck.exe)arcticwolf |
| SHA1 | 507b26054319ff31f275ba44ddc9d2b5037bd295 (locker_out.exe)arcticwolf |
| IP | 5.230.33[.]176 (VPN girişi)arcticwolf |
| Dosya adı | benioku.txt, DbgLog.sys, Veeam-Get-Creds.ps1arcticwolf |
| Eklenti | .flocked, .fogarcticwolf |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.