Vice Society fidye yazılımı çetesiyle bağlantılı tehdit aktörlerinin, özel yapım PowerShell tabanlı bir araç kullanarak radarın altından uçup güvenliği ihlal edilmiş ağlardan veri sızdırma sürecini otomatikleştirdiği gözlemlendi.
“Gibi yerleşik veri hırsızlığı yöntemlerini kullanan tehdit aktörleri (TA’lar) [living off the land binaries and scripts] Palo Alto Networks Unit 42 araştırmacısı Ryan Chapman, “Güvenlik yazılımı ve/veya insan tabanlı güvenlik algılama mekanizmaları tarafından işaretlenebilecek harici araçları getirme ihtiyacını ortadan kaldırın” dedi.
“Bu yöntemler ayrıca genel işletim ortamı içinde gizlenebilir ve tehdit aktörüne yıkım sağlayabilir.”
Microsoft tarafından DEV-0832 adı altında izlenen Vice Society, Mayıs 2021’de ortaya çıkan haraç odaklı bir bilgisayar korsanlığı grubudur. Hedeflerine ulaşmak için yeraltında satılan fidye yazılımı ikili dosyalarına güvendiği biliniyor.
Aralık 2022’de SentinelOne, grubun, dosyaları güvenli bir şekilde şifrelemek için asimetrik ve simetrik şifrelemeyi birleştiren hibrit bir şifreleme şeması uygulayan PolyVice adlı bir fidye yazılımı varyantını kullandığını ayrıntılı olarak açıkladı.
Unit 42 (w1.ps1) tarafından keşfedilen PowerShell betiği, sisteme takılı sürücüleri tanımlayarak ve ardından HTTP üzerinden veri sızdırmayı kolaylaştırmak için kök dizinlerin her birini tekrar tekrar arayarak çalışır.
Araç ayrıca sistem dosyalarını, yedeklemeleri ve web tarayıcılarına işaret eden klasörleri ve ayrıca Symantec, ESET ve Sophos’tan güvenlik çözümlerini filtrelemek için hariç tutma kriterlerini kullanır. Siber güvenlik firması, aracın genel tasarımının “profesyonel düzeyde bir kodlama” gösterdiğini söyledi.
Karanlık Web İstihbarat Toplama Sanatında Ustalaşın
Karanlık ağdan tehdit istihbaratı elde etme sanatını öğrenin – Uzmanlar tarafından yönetilen bu web seminerine katılın!
Koltuğumu Kurtar!
Veri hırsızlığı betiğinin keşfi, fidye yazılımı ortamında devam eden çifte gasp tehdidini gösteriyor. Ayrıca, kuruluşlara güçlü güvenlik korumalarına öncelik vermeleri ve gelişen tehditlere karşı tetikte olmaları için bir hatırlatma işlevi görür.
Chapman, “Vice Society’nin PowerShell veri hırsızlığı betiği, veri hırsızlığı için basit bir araçtır” dedi. “Komut dosyasının çok fazla sistem kaynağı tüketmemesini sağlamak için çoklu işleme ve sıraya alma kullanılır.”
“Ancak, betiğin dosya uzantılarına sahip 10 KB’nin üzerindeki dosyalara ve içerme listesine uyan dizinlere odaklanması, betiğin bu açıklamaya uymayan verileri sızdırmayacağı anlamına gelir.”