TargetCompany fidye yazılımı (diğer adıyla Mallox, Fargo ve Tohnichi), savunmasız SQL sunucularını kullanan veya çalıştıran kuruluşları aktif olarak hedefliyor.
Bunun dışında, kısa bir süre önce TargetCompany fidye yazılımı, kalıcılık ve gizli operasyonlar için hızla ilgi gören birkaç kötü amaçlı araçla birlikte yeni bir kötü amaçlı yazılım türünü ortaya çıkardı.
Trend Micro’daki siber güvenlik araştırmacıları, Remcos RAT ile TargetCompany fidye yazılımını birbirine bağlayan yakın zamanda aktif bir kampanya keşfetti ve geçmiş örneklerle karşılaştırıldığında, yeni dağıtımlar tamamen algılanamaz paketleyiciler kullanıyor.
Telemetri verileri ve dış arama kaynakları, geliştirme sırasında ilk örnekleri sağladı. Bu arada araştırmacılar, bu hedefli tekniğe maruz kalan bir kurban belirlediler.
Fidye yazılımı enfeksiyon zinciri
Önceki vakalara benzer şekilde, en yeni TargetCompany fidye yazılımı, Remcos RAT yürütmesi başarılı olana kadar URL’leri veya yolları değiştirmek de dahil olmak üzere çeşitli yöntemlerle kalıcılığı amaçlayarak ilk aşama dağıtım için zayıf SQL sunucularından yararlanır.
İlk denemeler durdurulduktan sonra, tehdit aktörleri FUD dolu ikili dosyalara yöneldi. Remcos ve TargetCompany fidye yazılımının FUD paketleyicisi, BatCloak’ın tarzını yansıtır:-
Toplu iş dosyası dış katmanı, ardından kod çözme ve LOLBins yürütme için PowerShell.
Dikkat çekici bir şekilde, bu değişken, bu grup için şaşırtıcı bir hareket olan Metasploit’i (Meterpreter) içerir. Kullanımları oldukça ilginç, aşağıdaki gibi amaçlara hizmet ediyor: –
- Yerel hesap sorgula/ekle
- GMER’i dağıtın
- IObit Unlocker’ı dağıtın
- PowerTool’u (veya PowTool’u) dağıtın
Daha sonra Remcos RAT, TargetCompany fidye yazılımını FUD paketi bozulmadan indirip etkinleştirerek son aşamasına geçer.
FUD Paketleme
OneNote’tan yararlanan önceki bir dalga, gerçek yük ile PowLoad ve CMDFile’ı içeren yeni tekniğiyle dikkatleri üzerine çekti. ‘cmd x PowerShell yükleyici popülerlik kazandı ve sonunda Şubat 2022’de TargetCompany fidye yazılımı operatörleri tarafından benimsendi.
CMDFiles, başlangıçta aşağıdakiler gibi kötü amaçlı yazılım aileleri tarafından kullanılan benzer görünüyordu: –
- AsyncRAT
- Remcos
- TargetCompany fidye yazılımı
AsyncRAT sıkıştırmayı açma ve şifre çözmeyi kullandığından, burada yürütme sırasında farklılıklar ortaya çıkar. Remcos ve TargetCompany yükleyicileri yalnızca yükleri açarken.
PowerShell ile ilgili ağ bağlantılarının incelenmesi, ‘/ap.php’ C&C bağlantısıyla ikinci sürüme bağlı yeni bir TargetCompany fidye yazılımı varyantını ortaya koyuyor.
FUD’nin kullanılmasıyla, kötü amaçlı yazılım tehdit aktörleri, bu yeni teknik için güvenlik çözümlerini, özellikle de daha geniş tehditlere eğilimli, kullanıma hazır teknolojileri önleyebilir veya atlatabilir.
Ancak, daha fazla paketleyicinin ortaya çıkabileceği tahmin ediliyor. Bu nedenle, erken tespit, alışılmadık kodlama akışları nedeniyle FUD paketleyicilerini önlemeye yardımcı olur.
öneriler
Burada Aşağıda tüm önerilerden bahsettik: –
- Güvenlik duvarı korumasını etkinleştirin.
- Sınırlı erişim sağlayın.
- Varsayılan bağlantı noktasını değiştirdiğinizden emin olun.
- Güvenli Hesap Yönetimi.
- Her zaman güçlü Parolalar kullanın.
- Hesap kilitleme politikaları uygulayın.
- İstenmeyen SQL CLR derlemelerini sık sık gözden geçirin ve devre dışı bırakın.
- Aktarım sırasında verileri daima şifreleyin.
- SQL sunucusu etkinliğini izlediğinizden emin olun.
- Sistemi ve yüklü yazılımı her zaman en son güncellemeler ve yamalarla güncel tutun.
IoC’ler
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.