2023’te kurulan tehdit aktörü, Rus hükümet kuruluşlarını hedef alan fidye yazılımı saldırılarında uzmanlaşmıştır. Mağdur verilerini şifreler ve siler, hassas bilgileri sızdırır ve kritik varlıklara maksimum zarar vermeyi hedefler.
Tehdit aktörü muhtemelen Rusya’daki IP adres aralıklarını tarayarak hedef kuruluşlara veya bunların yüklenicilerine giriş noktası olarak hizmet edebilecek, internet üzerinden erişilebilen VPN sunucularını ve uygulamalarını tespit ediyor.
Saldırganlar, çalınan kimlik bilgilerini ve RDP’yi kullanarak müşterilerinin ağlarına erişmek için genellikle yüklenicilerin altyapısını kullanır, yatay olarak hareket eder ve hassas sistemleri tehlikeye atarlar.
Saldırganlar, web sunucularını tehlikeye atmak için öncelikle PHP’de olmak üzere çeşitli web kabukları kullandılar. Bu kabuklar komutları yürütmek, dosyaları taşımak ve e-posta göndermek için kullanıldı. Bu kabukların çoğu herkese açık araçlardı ve Bitrix klasörleri gibi ortak konumlarda bulunuyordu.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
vCenter Server güvenlik açıklarından (CVE-2021-21972, CVE-2021-22005) yararlanarak bir web kabuğu dağıttılar ve ardından bunu SSH sürecine kendini enjekte eden FaceFish arka kapısını yüklemek için kullandılar.
Etki alanı hesapları ve grupları eklemek, ACL’leri değiştirmek ve kötü amaçlı yazılımları görev zamanlayıcısı ve grup politikaları aracılığıyla dağıtmak için PowerShell ve net.exe’yi kullanarak etki alanı altyapısı üzerinde kontrol sağladı.
Saldırganlar, kötü amaçlı yazılımları ve görevleri meşru isimler altında gizledi, olay günlüklerini ve RDP bağlantı geçmişini temizledi ve C2 ve yük dağıtımı için Cobalt Strike ve PowerShell araçlarını kullandı.
Ayrıca, tespit edilmekten kaçınmak için meşru bir sistem hizmeti gibi görünerek, tehlikeye atılan sisteme uzaktan erişim tüneli oluşturmak için Ngrok’u kullandılar ve bunu 3389 numaralı bağlantı noktasını dinleyecek şekilde yapılandırdılar.
Saldırgan, daha fazla kontrol elde etmek için meşru kimlik bilgilerini kullanarak ayrıcalıkları artırmak ve hesap niteliklerini değiştirmek suretiyle kurbanın ağını ve etki alanı altyapısını keşfetmek, ortaya çıkarmak ve istismar etmek için çeşitli araçlar kullandı.
Güvenlik yazılımlarını (Sophos) devre dışı bırakmak ve potansiyel olarak etki alanı bilgilerini (PowerView) toplamak için kendi yazdığı betikleri (ps1, bat) kullanır.
Tüm etki alanı makinelerinde aynı anda fidye yazılımları ve siliciler çalıştıran kötü amaçlı görevleri zamanlamak için Görev Zamanlayıcı’yı kullandı. Bu görevler grup politikası değişiklikleri tarafından tetiklendi ve kötü amaçlı dosyaları bir ağ paylaşımından kopyalayıp çalıştırdı.
Mimikatz, reg.exe, ntdsutil.exe ve All-In-One Password Recovery Pro gibi çeşitli araçlar, saldırıya uğramış sistemlerden kimlik bilgilerini çıkarmak ve daha sonra bu kimlik bilgilerini kullanarak RDP, PsExec ve PowerShell Uzaktan Erişimi kullanarak kurbanın ağında yatay olarak hareket etmek için kullanıldı.
Telegram’ın önbelleğe alınmış veri klasörünü kullanarak hassas kurban verilerini başarıyla çıkardı, gizliliği tehlikeye attı ve potansiyel olarak hesap taklitlerine olanak tanıdı.
LockBit 3.0 fidye yazılımı verileri şifreliyor ve grup politikaları ve PowerShell betikleri aracılığıyla yayılıyor, güvenlik yazılımlarını sonlandırıyor ve olay günlüklerini siliyor.
Dosyaları şifreledikten sonra kurban altyapılarındaki verileri yok etmek için herkese açık bir silici kullanan silici, MBR’yi, dosya içeriklerini ve meta verileri üzerine yazdı, ardından kendini sildi ve sistemi kapattı; bu da PowerShell ve zamanlanmış görevler aracılığıyla yayıldı.
Kaspersky’ye göre Twelve, kamuya açık kötü amaçlı yazılım araçlarını kullanarak hedef kuruluşlara veri imhası ve altyapı kesintisi yoluyla maksimum zarar vermeyi amaçlayan bir hacktivist gruptur.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free