Palo Alto Networks’teki Unit42 araştırma ekibi, yakın zamanda, Windows’a alışılmadık tekniklerle saldıran ve dosyaları şifrelemeye çalışmadan önce Kimlik Bilgileri Yükleme, Boşaltma, Manipülasyon ve enjeksiyon için Mimikatz istismar aracını kullanan Trigona fidye yazılımını keşfetti.
Trigona fidye yazılımı ilk olarak Ekim 2022’de keşfedildi ve Aralık 2022’de çok aktifti. Son keşfi sırasında Üretim, Finans, İnşaat, pazarlama ve yüksek teknoloji sektörlerindeki yaklaşık 15 kuruluşu etkiledi.
Bu yılın Ocak ve Şubat aylarında, her ay iki tane olmak üzere dört adet Trigona fidye notu bulundu.
Diğer fidye yazılımı notlarının aksine, Trigona notları düz metin dosyaları değildi. Bunun yerine, JS gömülü bir HTML uygulamasıdır. Ayrıca CID’leri (Bilgisayar Kimlikleri) ve VID’leri (Kurban Kimlikleri) içerir.
Trigona Fidye Yazılımına Genel Bakış
Bir güvenlik araştırmacısı tweet attı içerik oluşturucuların kurbanın ortamına ilk erişimi, aktif bir keşif, uzaktan izleme ve yönetim (RMM) yoluyla kötü amaçlı yazılım aktarımı ve kullanıcı hesabı oluşturma ve dağıtma yoluyla elde etmesi.
Raporlara göre, bu fidye yazılımının bir komut satırı listesi var ve dosyaları şifrelemek için TDCP_rijndael (bir Delphi AES kitaplığı) tarafından destekleniyor.
Etkilenen dosyaların uzantısı ._locked iledir. Ancak fidye notunun dosya adı ve uzantısı şu şekilde olacaktır: how_to_decrypt.hta .
Belirtildiği gibi, fidye notu gömülü JS içeren bir HTML dosyasıdır. Dosyanın daha fazla gözlemlenmesi, aşağıdaki bilgileri içeren bazı parametreleri gösterdi.
- CID ve VID
- E-posta Adresi (Saldırgan)
- Pazarlık için TOR URL’si.
Raporda ayrıca, çalınan dosyaları sızdıran fidye yazılımıyla bir web sitesinin ilişkilendirildiği belirtildi. Bu bilgileri bir e-posta adresi aracılığıyla teklif verme seçeneği de vardı.
Trigona tarafından desteklenen ikili dosyalar
| Argüman | Tanım |
| /tam dolu | Fidye yazılımının tüm işlevlerini yerine getirir. Hem yerel hem de ağ dosyalarını şifreler. Kalıcılık için biri fidye yazılımı ikili dosyası ve diğeri fidye notu için olmak üzere iki kayıt defteri anahtarı oluşturur. |
| /!otomatik çalıştırma | Kalıcılık için kayıt defteri anahtarlarının oluşturulmasını atlar |
| /test_cid “deneme” | Kurban tarafından oluşturulan varsayılan CID’nin üzerine yazar ve “test” değeriyle değiştirir |
| /test_vid “deneme” | Varsayılan VID’nin üzerine yazar ve “test” değeriyle değiştirir |
| /p, /yol “yol” | Yalnızca belirtilen yol içindeki dosyaları şifreler |
| /!yerel | Yerel sistem dosyalarını şifrelemez, yalnızca yerel ağdaki dosyaları şifreler |
| /!lan | Yerel ağ dosyalarını şifrelemez, yalnızca yerel sistemdeki dosyaları şifreler |
| /autorun_only “yol” | Yalnızca kalıcılık için kayıt defteri anahtarı oluşturur. Varsayılan yolu geçersiz kılmak için isteğe bağlı “yol” sağlanmasına izin verir, dosyaları şifrelemez |
DC2.exe – DC4.exe – DC6.exe
Trigona’nın şu anda gelişmekte olan sızıntı sitesi, fidye yazılımının arkasındaki operatör ve/veya bağlı kuruluşlar muhtemelen kötü niyetli faaliyetlerini sürdürecek (ve hatta muhtemelen hızlandıracaktır).
Bir Windows işletim sisteminden parolalar ve kimlik doğrulama bilgileri gibi hassas bilgileri ayıklamaya yönelik bir program olan Mimikatz’ın parola korumalı bir sürümü.
- Kimlik Bilgileri Yükleniyor – Mimikatz, Windows belleği, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) işlemi ve Windows kayıt defteri dahil olmak üzere çeşitli konumlardan kimlik bilgilerini alır.
- Kimlik Bilgilerinin Boşaltılması – Yardımcı program daha sonra kullanıcı adları ve parolalar, karmalar ve Kerberos biletleri dahil olmak üzere kimlik bilgilerini ayıklar ve ekrana veya bir dosyaya aktarır.
- Kimlik Bilgilerinin Manipülasyonu – Mimikatz, kullanıcıların parolaları değiştirmesine, yeni kullanıcı hesapları oluşturmasına ve sızdırılan kimlik bilgilerini kullanarak kişileri gruplara eklemesine izin verir.
- Kimlik Bilgileri Enjeksiyonu – Değiştirilen kimlik bilgileri, kullanıcının başka bir kullanıcının kimliğine bürünmesine ve kısıtlı kaynaklara erişmesine izin verecek şekilde başka işlemlere de enjekte edilebilir.
DC4.exe katıştırılmış bir toplu iş dosyası oluşturan ve yürüten küçük, UPX ile paketlenmiş, parola korumalı bir ikili dosyadır. DC2.exe gibi, ikilinin çalışmasına izin veren parola boris’tir.
DC6.exe halka açık araç Advanced Port Scanner için bir Inno Setup yükleyici paketine sarılmış bir yükleyicidir.
“Trigona’nın şu anda gelişmekte olan sızıntı sitesi, fidye yazılımının arkasındaki operatör ve/veya bağlı kuruluşlar muhtemelen kötü niyetli faaliyetlerini sürdürecek (ve hatta muhtemelen hızlandıracak). Palo Alto Kapattı.
Bu fidye yazılımı, Taktikleri, Teknikleri ve Prosedürleri (TTP’ler) de içeren CryLock fidye yazılımıyla benzerlikler taşır; Birim 42 Palo Alto, Eksiksiz bir rapor yayınladı.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
Ayrıca Oku:
