Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
ABD, AB ve LATAM Ülkelerini Hedefleyen Mali Motivasyonlu Aktörler
Prajeet Nair (@prajeetspeaks) •
11 Ocak 2024
Mali motivasyona sahip Türk bilgisayar korsanları, ABD, Avrupa ve Latin Amerika’daki Microsoft SQL sunucularını hedef alarak, sonuçta Mimic fidye yazılımının yayılmasıyla veya çevrimiçi suç pazarlarında virüslü ana bilgisayarlara erişimin satılmasıyla sonuçlanan hackleme faaliyetleri gerçekleştiriyor.
Ayrıca bakınız: OnDemand I Siber Suçlular Tatilleri İzin Vermiyor
Securonix’ten araştırmacılar kampanyayı Re#Turgence olarak adlandırdı ve bilgisayar korsanlarının yönetici şifrelerini tahmin ederek kurbanın sunucusuna kaba kuvvet kullanarak girdiklerini söyledi.
Kampanya, Securonix tarafından 2023’te tespit edilen ve aynı zamanda açığa çıkan Microsoft SQL hizmetlerine erişmek için kaba kuvvet saldırılarına dayanan Db#Jammer adlı başka bir kampanyaya benziyor.
Trend Micro, Ocak 2023’te Mimic fidye yazılımını keşfetti ve ona fidye yazılımı ikili dosyalarında bulduğu dizeye göre adını verdi. Mimik operatörleri, kötü amaçlı şifrelemeye hedeflenen dosyaları bulmak amacıyla dosya adlarını dizine eklemek için Voidtools tarafından tasarlanan meşru bir uygulama olan “Her Şey”i kullanır. Bu kampanyadaki fidye yazılımı yükünün adı red25.exe.
Taklitçi fidye yazılımı, artık faaliyet göstermeyen Rusça konuşan Conti fidye yazılımı grubu tarafından geliştirilen ve Mart 2022’de internete sızdırılan kaynak koduna dayanıyor gibi görünüyor (Conti’nin Mirası: Fidye Yazılımının En Çok Arananları Ne Oldu?).
Securonix araştırmacıları, Re#Turgence saldırganlarını, bazıları Türkçe yazılmış olan uzaktan izleme ve yönetim yazılımı mesajlarını açığa çıkaran bir OPSEC hatası yoluyla izleyebildiklerini söyledi. Mesajlar, bilgisayar korsanlarından birinin, spyhackerz adlı bir bilgisayar korsanlığı web sitesinde de görünen “atseverse” adını ortaya çıkardı.
Re#Turgence bilgisayar korsanları yönetici parolasını başarılı bir şekilde tahmin ettikten sonra, Windows komut kabuğunu xp_cmdshell sistem – Securonix’in genellikle etkinleştirilmemesi gerektiğini söylediği bir işlev. Kullanıcıların SQL Server ortamından işletim sistemi komutları vermesini sağlar. Bu özellik, sistem yöneticilerinin ve ileri düzey kullanıcıların, SQL Server ile kullanılan standart sorgulama dili olan Transact-SQL’in yeteneklerinin ötesine geçen görevleri gerçekleştirmelerine olanak sağlamak için tasarlanmıştır.
Bilgisayar korsanları, Windows’ta yerleşik bir işleme enjekte edilen “ağır şekilde gizlenmiş” bir Cobalt Strike yükünü indiriyor; bu durumda, bilgisayar ses düzeyi ayarlarının kontrolünden sorumlu yürütülebilir dosya. Paylaşılan bir ağdan uzaktan kontrol için AnyDesk’i edinmek amacıyla istismar sonrası araç setini kullanıyorlar. Ayrıca şifreleri almak için Mimikatz ve keşfetmek için Gelişmiş Bağlantı Noktası Tarayıcısı gibi diğer araçları da indirirler.
Securonix, birkaç gün sonra yanal hareketin meydana geldiğini gözlemledi. PsExec telnet’in değiştirilmesi.