Uzak Yönetim Araçlarını Kullanan Bilgisayar Korsanları AvosLocker Fidye Yazılımı


AvosLocker fidye yazılımı saldırısının arkasındaki siber suçlular, Açık Kaynak Uzaktan Yönetim Araçları aracılığıyla kuruluşlara virüs bulaştırma taktiği kullandı.

Bu yöntem, kötü amaçlı yazılımın hızla yayılmasına ve potansiyel olarak etkilenen ağlardaki hassas veri ve sistemlerin riske atılmasına olanak sağladı.

FBI, Mayıs 2023’te yaptığı araştırmalar sırasında AvosLocker’ın yeni bir versiyonunu buldu.

AvosLocker Fidye yazılımı

AvosLocker, 2021’in ortasında ortaya çıkan bir RaaS (hizmet olarak fidye yazılımı) grubudur. O zamandan beri, tümü ülkenin “kritik altyapısının” bir parçası olarak kabul edilen ABD finans kurumlarına, hayati fabrikalara ve hükümet binalarına yönelik saldırılarla ün kazandı.

AvosLocker grubunun üyeleri, gerçek yazılım yükleyicileri gibi davranarak veya ücretsiz olarak kullanılabilen uzaktan sistem yönetim araçlarını kullanarak kurumsal ağlara sızıyor.

AvosLocker’ın bağlı kuruluşları, veri sızdırma yoluyla elde edilen çalınan bilgileri sızdırmakla veya kamuya ifşa etmekle tehdit ederek gaspta bulunur.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

AvosLocker Bağlı Kuruluşları:

  • Arka kapı erişim vektörleri olarak uzaktan sistem yönetim araçları (Splashtop Streamer, Taktik RMM, PuTTy, AnyDesk, PDQ Deploy ve Atera Agent) [T1133].
  • Meşru yerel Windows araçlarını çalıştırmak için komut dosyaları [T1047]PsExec ve Nltest gibi.
  • Açık kaynaklı ağ tünelleme araçları [T1572] Boyun[1] ve Keski[2].
  • Kobalt Saldırısı ve Şerit[3] komuta ve kontrol için (C2).
  • Kimlik bilgilerini toplamak için Lazagne ve Mimikatz [T1555].
  • Veri sızması için FileZilla ve Rclone.
  • Notepad++, RDP Tarayıcı ve 7zip

FBI, gelişmiş bir dijital adli tıp grubunun yaptığı analize dayanarak, kötü amaçlı yazılımlara izin verdiği bilinen bir dosyanın imzasını tespit etmek için aşağıdaki YARA kuralını geliştirdi.

NetMonitor.exe, meşru bir süreç gibi görünen kötü amaçlı bir yazılımdır ve gerçek bir ağ izleme aracı görünümüne sahiptir.

Ağ, bu kalıcılık yardımcı programından her beş dakikada bir ping alacaktır.

NetMonitor yazılımı, TCP bağlantı noktası 443 aracılığıyla komut sunucusu görevi gören belirli bir IP adresiyle konuşacak şekilde ayarlanmıştır.

Bir saldırı sırasında NetMonitor ile komut sunucusu arasındaki iletişim korunur ve NetMonitor, saldırganların araca kurbanın ağı dışından bağlanmasını sağlayan bir tersine kolaylaştırıcı gibi çalışır.

FBI ve CISA, şirketlerin bilgisayar sistemlerini AvosLocker fidye yazılımı saldırılarına karşı korumak için adımlar atmasını öneriyor. Bu, bilgisayar korsanlarının önemli bilgileri çalmasını ve sorunlara neden olmasını önlemeye yardımcı olacaktır.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link