Vice Society fidye yazılımı çetesi, güvenliği ihlal edilmiş ağlardan veri hırsızlığını otomatikleştirmek için yeni ve oldukça gelişmiş bir PowerShell komut dosyası kullanıyor.
Kurumsal ve müşteri verilerini çalmak, kurbanları zorla alırken veya verileri maksimum kâr için diğer siber suçlulara yeniden satarken daha fazla kaldıraç olarak kullanılmaya yönelik fidye yazılımı saldırılarında standart bir taktiktir.
Vice Society’nin yeni veri hırsızı tamamen otomatiktir ve güvenlik yazılımlarından alarm tetiklemesi pek mümkün olmayan “yerli” ikili dosyalar ve betikler kullanır ve fidye yazılımı saldırısının son adımı olan verilerin şifrelenmesinden önce faaliyetlerini gizli tutar.
PowerShell hırsızlığı
Yeni veri hırsızlığı aracı, Palo Alto Networks Unit 42 tarafından 2023’ün başlarında bir olay müdahalesi sırasında, müdahale ekiplerinin kurbanın ağından “w1.ps1” adlı bir dosyayı kurtardığı ve daha spesifik olarak Olay Kimliği 4104: Komut Dosyasında atıfta bulunulduğu sırada keşfedildi. Blok Kaydı olayı.
Betik, veri hırsızlığını otomatikleştirmek için PowerShell’i kullanır ve Work(), Show(), CreateJobLocal() ve fill() gibi birden çok işlevden oluşur.
Bu dört işlev, sızma için potansiyel dizinleri belirlemek, dizin gruplarını işlemek ve sonunda verileri HTTP POST istekleri aracılığıyla Vice Society’nin sunucularına sızdırmak için kullanılır.
Raporda Birim 42, “Ağdan hangi dosyaların kopyalanacağının sorumluluğu komut dosyasının kendisine bırakıldığı için, komut dosyası herhangi bir argüman gerektirmez” diyor.
“Test, betiğin hem boyutu 10 KB’nin altında olan hem de dosya uzantısı olmayan dosyaları yok saydığını doğruladı.”
Hangi dosyaların çalındığını belirlemek için komut dosyasında bazı otomatikleştirilmiş işlevler var gibi görünse de, hangi dosyaların çalındığını iyileştirmeye yardımcı olacak bir ana hariç tutma ve dahil etme listesi hala vardır.
Örneğin, komut dosyası, adları yedeklemeler için ortak dizeler içeren klasörlerden, program yükleme klasörlerinden ve Windows işletim sistemi klasörlerinden veri çalmaz.
Ancak özellikle İngilizce, Çekçe, Almanca, Litvanca, Lüksemburgca, Portekizce ve Lehçe dillerinde 433’ün üzerinde dizi içeren klasörleri hedefleyerek Almanca ve İngilizce’yi vurgular.
Örneğin, hedeflediği klasörlerden bazıları şunları içerir:
*941*", "*1040*", "*1099*", "*8822*", "*9465*", "*401*K*", "*401K*", "*4506*T*", "*4506T*", "*Abkommen*", "*ABRH*", "*Abtretung*", "*abwickeln*", "*ACA*1095*", "*Accordi*", "*Aceito*", "*Acordemen*", "*Acordos*", "*Acuerde*", "*Acuerdo*", "*Addres*", "*Adres*", "*Affectation*", "*agreem*", "*Agreemen*Disclosur*", "*agreement*", "*Alamat*", "*Allocation*", "*angreifen*", "*Angriff*", "*Anmeldeformationen*", "*Anmeldeinformationen*", "*Anmeldenunter*", "*Anmeldung*", "*Anschrift*", "*Anspruch*", "*Ansspruch*", "*Anweisung*", "*AnweisungBank*", "*anxious*", "*Análise*", "*Apotheke*", "*ARH*", "*Asignación*", "*Asignatura*", "*Assegnazione*", "*Assignation*", "*Assignment*", "*Atribuição*", "*attorn*", "*Audit*", "*Auditnaadrese*", "*Aufführen*", "*Aufgabe*", "*Aufschühren*", "*Auftrag*", "*auftrunken*", "*Auftrunkinen*", "*Auswertung*", "*Avaliação*", "*Avaliações*", "*Avtal*", "*balanc*", "*bank*", "*Bargeld*", "*Belästigung*", "*Benef*", "*benefits*", "*Bericht*", "*Beschäftigung*", "*Betrug*", "*Bewertung*", "*bezahlen*", "*billing*", "*bio*"
PowerShell komut dosyası, etkilenmiş makinede veri aramak ve sızdırmak için “Get-ChildItem” ve “Select-String” gibi sisteme özgü cmdlet’ler kullanır, ayak izini en aza indirir ve gizli bir profili korur.
Vice Society’nin yeni veri hırsızının bir başka ilginç yönü de, ana bilgisayarın kullanılabilir kaynaklarının çok fazlasını ele geçirmekten kaçınmak için beş dizin grubunun aynı anda çalışan maksimum 10 işini ayarlayan hız sınırlayıcı uygulamasıdır.
Bunun arkasındaki özel amaç belirsiz olsa da, Ünite 42, bunun en iyi kodlama uygulamalarıyla uyumlu olduğunu ve profesyonel düzeyde bir senaryo kodlaması gösterdiğini söylüyor.
Vice Society gelişiyor
Vice Society’nin yeni veri hırsızlığı betiği, çoğu güvenlik yazılımı tarafından tespit edilmekten kaçınmak için “karadan uzakta yaşama” araçlarını kullanır ve kapladığı alanı küçük ve etkinliğini gizli tutmak için çoklu işleme ve işlem kuyruğa alma özelliklerine sahiptir.
Birim 42, güvenlik araştırmacılarının raporlarının alt kısmında bu konuda tavsiyelerde bulunmasına rağmen, bu yaklaşımın tespit ve avlanmayı zorlaştırdığını söylüyor.
Aralık 2022’de SentinelOne, Vice Society’nin muhtemelen kötü amaçlı yazılımını Chilly ve SunnyDay fidye yazılımlarına da satan sözleşmeli bir geliştirici tarafından sağlanan “PolyVice” adlı yeni, gelişmiş bir dosya şifreleyiciye geçtiği konusunda uyarıda bulundu.
Ne yazık ki, her zaman gelişmiş araçların benimsenmesiyle Vice Society, dünya çapındaki kuruluşlar için daha zorlu bir tehdit haline geldi ve savunuculara saldırıları tespit etme ve durdurma konusunda daha az fırsat verdi.