Son yıllarda sis fidye yazılımı olayları siber suçta tehlikeli yeni bir eğilim ortaya koymuştur: hackerlar, ağları ihlal etmek, gizli verileri çalmak ve fidye yazılım saldırılarını başlatmak için açık kaynaklı penetrasyon test araçları ve gerçek personel izleme yazılımı kullanıyor.
Bu benzeri görülmemiş taktik karışımı, siber güvenlik profesyonelleri arasında alarmlar artırarak büyük finansal kurumları hedeflemiştir.
Mayıs 2025’te bir Asya finans kurumu saldırısı, son derece sıra dışı bir araç seti eşliğinde sis fidye yazılımının konuşlandırılmasını içeriyordu.
.png
)
Yeni özellikler arasında meşru bir çalışan izleme yazılımı olan Syteca’nın (eski adıyla Ekran) kullanımı vardı. Bu, Syteca tipik olarak fidye yazılımı kampanyalarıyla ilişkili olmadığından nadir bir olayı işaret eder.
Ek olarak, saldırganlar fidye yazılımı işlemlerinde yaygın olarak görülmeyen GC2, ADAPTIX ve STOWAWAWAY araçları gibi birkaç açık kaynaklı penetrasyon test aracı tanıttılar.
Örneğin, GC2, komut ve kontrol (C2) mekanizması olarak Google stajyerlerini veya Microsoft SharePoint listelerini kullanan açık kaynaklı bir araçtır.
Yüklendikten sonra, bu bulut platformlarını operatör komutları için ankete katir, yürütür ve çıktı günlüklerini veya çalınan dosyaları Google Drive veya SharePoint’e yükler.
Saldırganlar GC2’yi aşağıdakiler gibi standart keşif komutları yapmak için kullandı:
- Whoami (şu anda giriş yapmış kullanıcıları görüntüler)
- net kullanım (eşleştirilen ağ kaynaklarını paylaşır)
- CMD /C “ipconfig /all” (Ağ Yapılandırma Detayları)
- CMD /C “Netstat -anot | FindStr 3389” (Uzak Masaüstü Protokol Etkinliği)
GC2’nin diğer işlevleri arasında dosyaların yüklenmesi/indirilmesi, rastgele kabuk kodunun yüklenmesi ve yürütülmesi ve doğrudan komut yürütme yetenekleri daha fazla gelişmiş kalıcı tehdit (APT) operasyonlarında görüldü.
STOWAWAWAY, saldırganlara anahtarlık ve ekran yakalama özellikleri sağlayan Syteca’yı teslim etmek için bir proxy olarak kullanıldı.
Syteca’nın varlığı, saldırganların sadece fidye yazılımı güdümlü bozulma veya finansal kazançtan ziyade birincil hedef olarak casusluk yapmış olabileceğini düşündürmektedir.
Saldırganlar ayrıca, saldırı sonrası temizlikte Psexec ve Smbexec gibi araçları kullanarak Syteca’nın kurulumunun kanıtlarını silmeye çalıştılar.
Kalıcı erişim ve veri açığa çıkması
Rapora göre, bu saldırıyı özellikle endişe verici kılan şey, tehdit aktörleri tarafından kurulan kalıcılık.
Fidye yazılımlarını dağıtırdıktan sonra, genellikle birçok saldırıdaki son adım, saldırganlar ağa sürekli erişimi sürdürmek için bir hizmet oluşturdu.
Çoğu fidye yazılımı grubu, kurbanın ortamından çekilmeden önce veri şifrelemeye ve ödemeleri zorlamaya odaklandığından bu olağandışıdır.
Veri hırsızlığı için, saldırganlar Freefilesync ve Megasync dahil olmak üzere dosya aktarım yardımcı programlarını indirdiler.
Ayrıca, hassas dizinleri sıkıştırmak ve püskürtmek için açık kaynaklı arşiv 7-zip kullandılar.
Kobalt grevine açık kaynaklı bir alternatif olan Adaptix C2 Agent Beacon’un kullanımı, saldırganlara sofistike APT grupları tarafından kullanılanlara benzer komuta ve kontrol yetenekleri sağladı.
Psexec ve smbexec, yanal hareket için kullanıldı ve saldırganların ağ üzerindeki etkilerini genişletmelerine izin verdi.
Ayrıca, bir süreç bekçi mekanizması, GC2 implantı gibi kritik saldırgan araçlarının tehlikeye atılmış makinelerde çalışmaya devam etmesini sağladı.
Casusluk, fidye yazılımı veya her ikisi?
Meşru izleme yazılımı, pentesting araçları ve kalıcı arka kapı mekanizmalarının yakınsaması, bu saldırının casusluk için düzenlenmiş olabileceğini ve fidye yazılımlarının saldırganlar için bir tuzak veya bonus olarak hizmet ettiğini göstermektedir.
Saldırganlar, sis fidye yazılımı dağıtmadan önce ağın içinde iki haftaya kadar harcadı ve kapsamlı bir keşif aşamasını gösterdi.
Bu olay, olağandışı açık kaynaklı ve ticari yazılım dağıtımlarının yanı sıra beklenmedik ağ kalıcılık mekanizmalarının izlenmesinin önemini vurgulamaktadır.
Saldırılarda meşru araçların kullanılması, tespiti daha zor hale getirerek ileri davranışsal analitik ve sağlam uç nokta koruması gerektirir.
Uzlaşma göstergeleri
Bir IOC kötü niyetli ise ve dosya bizim için kullanılabilirse, Symantec uç noktası ürünleri bu dosyayı algılayacak ve engeller.
Dosya Göstergeleri:
| 181cf6f9b656a946e7d4ca7c7d8a5002d3d407b4e8973ecad60cee028ae5afa | Sis fidye yazılımı |
| 90a027f44f7275313b726028eaaed46f69110d3b96b84e7b1b40d5f51d7e85 | SÜREÇ SAYFASI |
| F6cfd936a706ba56c3dcae562ff5f75a630f5e25fcb6149fe77345Afd262aab | SÜREÇ SAYFASI |
| fcf1da46d66cc6a0a34d68fe79a33bc3e8439affdee942ed82f6623586b01dd1 | SÜREÇ SAYFASI |
| 4d80c6fcd685961e60ba82fa10d34607d09dacf23d81105df558434f82d67a5e | Muhtemel Process Watchdog |
| 8ED42A1223BFAEC9676780137C1080D248AF9AC7176C0A80BED6B4A1B9B4F1 | Muhtemel Process Watchdog |
| E1F571F4BC564F000F18A10EBB7EE7F936463E17EBFF75A11178CC9FB855FCA4 | Muhtemel Process Watchdog |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin