olarak bilinen bir siber suç grubu Yardımcısı Derneği eğitim, hükümet ve perakende sektörlerine yönelik kötü niyetli kampanyalarında birden fazla fidye yazılımı türüyle ilişkilendirilmiştir.
DEV-0832 takma adıyla tehdit kümesini izleyen Microsoft Güvenlik Tehdit İstihbaratı ekibi, grubun bazı durumlarda fidye yazılımı dağıtmaktan kaçındığını ve büyük olasılıkla sızdırılmış çalıntı verileri kullanarak gasp gerçekleştirdiğini söyledi.
“Fidye yazılımı yüklerini zaman içinde BlackCat, Quantum Locker ve Zeppelin’den değiştiren DEV-0832’nin en son yükü, .v-s0ciety, .v-society gibi Vice Society’ye özgü dosya uzantılarını ve en son olarak, .locked,” dedi teknoloji devinin siber güvenlik bölümü.
Haziran 2021’den bu yana aktif olan Vice Society’nin sürekli olarak kurban verilerini şifrelediği ve sızdırdığı ve şirketleri fidye ödemeye zorlamak için sifonlanan bilgileri ifşa etmekle tehdit ettiği gözlemlendi.
Siber güvenlik şirketi SEKOIA, Temmuz 2022’de grubun bir analizinde, “Diğer RaaS (Hizmet olarak Fidye Yazılımı) çifte gasp gruplarının aksine, Vice Society, Dark web forumlarında satılan fidye yazılımı ikili dosyalarını dağıtmak için kurban sistemine girmeye odaklanıyor.” Dedi. .
Finansal olarak motive edilmiş tehdit aktörünün, ilk erişim için internete açık uygulamalardaki genel olarak ifşa edilen güvenlik açıkları için açıklardan yararlandığı ve ayrıca fidye yazılımını dağıtmadan önce PowerShell komut dosyalarını, yeniden tasarlanmış meşru araçları ve SystemBC gibi emtia arka kapılarını kullandığı bilinmektedir.
Vice Society aktörlerinin, Windows Yazdırma Biriktiricisi (aka PrintNightmare) ve Ortak Günlük Dosya Sistemi’ndeki (CVE-2022-24521) ayrıcalıkları yükseltmek için kalıcılık için zamanlanmış görevler oluşturmanın ve güvenlik açıklarını kötüye kullanmanın yanı sıra yanal hareket için Kobalt Strike’dan yararlandıkları da tespit edildi.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) geçen ay yaptığı açıklamada, “Vice Society aktörleri, kötü amaçlı yazılımlarını ve araçlarını meşru dosyalar olarak maskeleyerek, süreç enjeksiyonunu kullanarak ve muhtemelen otomatik dinamik analizi yenmek için kaçınma tekniklerini kullanarak tespitten kaçınmaya çalışıyor.” Dedi.
Microsoft tarafından açıklanan bir Temmuz 2022 olayında, tehdit aktörünün başlangıçta QuantumLocker yürütülebilir dosyalarını dağıtmaya çalıştığı, ancak beş saat sonra şüpheli Zeppelin fidye yazılımı ikili dosyalarını takip ettiği söyleniyor.
Redmond, “Böyle bir olay, DEV-0832’nin hedef savunmalara bağlı olarak birden fazla fidye yazılımı yükü ve anahtarı koruduğunu veya alternatif olarak, DEV-0832 şemsiyesi altında çalışan dağınık operatörlerin dağıtım için kendi tercih edilen fidye yazılımı yüklerini koruyabileceğini düşündürebilir” dedi.
DEV-0832 tarafından kullanılan diğer araçlar arasında, güvenlik duvarı ayarlarını değiştirme ve önceden yapılandırılmış komut ve kontrol (C2) sunucularıyla bağlantı kurmak için bağlantı noktaları açma yeteneği sunan, PortStarter adlı Go tabanlı bir arka kapı bulunur.
Vice Society, kötü niyetli kod çalıştırmak için arazide yaşayan ikili dosyalardan (LOLBins) yararlanmanın yanı sıra, kayıt komutlarını kullanarak Microsoft Defender Antivirus’ü kapatmaya çalışırken de bulundu.
Veri hırsızlığı, sonunda, finansal belgelerden tıbbi verilere, sabit kodlanmış bir saldırganın sahip olduğu IP adresine kadar geniş kapsamlı hassas bilgileri ileten bir PowerShell betiği başlatılarak gerçekleştirilir.
Redmond ayrıca, siber suç grubunun daha zayıf güvenlik kontrolleri ve daha yüksek fidye ödeme olasılığı olan kuruluşlara odaklandığına dikkat çekerek, bu tür saldırıları önlemek için gerekli önlemleri alma ihtiyacının altını çizdi.
“Bir hizmet olarak fidye yazılımı (RaaS) teklifinden (BlackCat) satın alınan ve tamamen sahip olunan bir kötü amaçlı yazılım teklifine (Zeppelin) ve özel bir Vice Society varyantına geçiş, DEV-0832’nin siber suç ekonomisinde aktif bağları olduğunu ve fidye yazılımı yükünü test ettiğini gösteriyor. Microsoft, etkinlik veya fidye yazılımı sonrası gasp fırsatları” dedi.