BASTA fidye yazılımını dağıtmasıyla bilinen tehdit aktörü grubu UNC4393, 2022 ortasından bu yana taktiklerinde sürekli değişikliklere uğradı. Araştırmacılar, grubun operasyonlarını ve değişikliklerini incelemek için veri sızıntısı sitesinde 20 sektörde 40’tan fazla UNC4393 saldırısını ve yaklaşık 500 kurbanı izlediler.
Grup başlangıçta erişim için QAKBOT botnet enfeksiyonuna güvenirken, UNC4393 grubu QAKBOT ağına yönelik iç baskının ardından yöntemlerini uyarladı. Grup artık özel olarak dağıtılmış kötü amaçlı yazılım ve çeşitli ilk erişim tekniklerini kullanmaya geçti.
UNC4393 Atıf, Hedefleme ve Kötü Amaçlı Yazılım
UNC4393, finansal olarak motive edilmiş bir tehdit kümesidir ve BASTA fidye yazılımının birincil kullanıcısıdır. Grup, kampanyalarında BASTA fidye yazılımını dağıtmak için UNC2633 ve UNC2500 QAKBOT botnet enfeksiyonları yoluyla elde edilen ilk erişimi öncelikli olarak kullanmıştır.
Mandiant’tan araştırmacılar yeni bir çalışmada BASTA operatörlerinin özel veya küçük kapalı davetli ortaklık modelini sürdürdüğünden şüpheleniyor; bu modele göre yalnızca güvenilir üçüncü taraf aktörlere BASTA şifreleyicisine erişim izni veriliyor.
Grup, kısa zaman aralıklarında karanlık sızıntı sitesinde yüzlerce kurbanı ele geçirerek, hızlı keşif, veri sızdırma ve fidye yazılımı şifreleme hedeflerini ortalama 42 saat içinde kanıtladı. UNC4393, kolayca bulunabilen araçlardan özel kötü amaçlı yazılım geliştirmeye geçti. Cephanelikleri şunları içerir:
- NASILSA ÖYLE: ChaCha20 veya XChaCha20 kullanarak dosyaları şifreleyen bir C++ fidye yazılımı.
- SİSTEMBC: Komuta ve kontrol sunucusundan proxy ile ilgili komutları alan bir tünel oluşturucu.
- DÜĞÜM KUŞAĞI: Ek yükleri çalıştıran yalnızca bellek kullanan bir dropper.
- Şafak: DAVESHELL ve PORTYARD dahil gömülü kaynakları şifresini çözen bir dropper.
- LİMAN:Komuta ve kontrol sunucularına bağlantılar kuran bir tünelci.
Araştırmacılar, grubun geleneksel olarak sağlık kuruluşlarına yönelik saldırılardan kaçındığını belirtirken, sektörde son dönemde yaşanan ihlallerin saldırı ilgi alanının genişlediğine işaret edebileceğini belirtiyor.
Erişim Yöntemlerini ve Ortaklıkları Değiştirme
QAKBOT altyapısının devre dışı bırakılmasının ardından UNC4393 ilk erişim yöntemlerini çeşitlendirdi:
- Karanlık Kapı: Kısaca kimlik avı kampanyaları yoluyla erişim sağlamak için kullanılır.
- SESSİZ GECE: AC/C++ arka kapısı kötü amaçlı reklamlarla yayıldı ve yalnızca kimlik avı amaçlı taktiklerden uzaklaşıldığını gösteriyor.
Grup, iç keşifler için BLOODHOUND ve ADFIND gibi açık kaynaklı araçların yanı sıra, .NET tabanlı bir keşif topluluğu olan COGSCAN gibi özel araçları da kullanıyor.
Erişim sağladıktan sonra UNC4393, özel kötü amaçlı yazılımlarla yaşayan arazi tekniklerini birleştirir. Hedef ortamlarda yer edinmek ve bunları sürdürmek için sıklıkla benzersiz alan adı adlandırma kurallarına sahip DNS BEACON kullanırlar. UNC4393, hedeflerine ulaşmak için birden fazla dağıtım kümesi ve iştirakle iş birliği yapma isteğini göstermiştir.
Grup, ilk erişim aracılarıyla çeşitli stratejik ortaklıklara dağıtılan kötü amaçlı yazılım türündeki değişiklik yoluyla operasyonlarını çeşitlendirme ve optimize etme konusunda istekli bir istek gösterdi. Ancak araştırmacılar, grubun karanlık sızıntı sitesinin izledikleri siteler arasında en aktif sitelerden biri olmasına rağmen, sitede iddia edilen kurban sayısının son aylarda azaldığını ve ayın bitmesine bir haftadan az bir süre kala bu düşüşte önemli bir değişiklik olmasının olası olmadığını belirtiyorlar.
Araştırmacılar, grubun hızlı operasyonel temposunun ve çok yönlü gasp tekniklerinin, savunmacılar için bir zorluk olduğunu vurgularken, kuruluşların tehdide karşı koymasına yardımcı olmak için potansiyel tehlike göstergelerinin (IOC) bir listesi VirusTotal’e yüklendi.