Hacktivism ve siber suç karışımı ile bilinen bir fidye yazılımı grubu olan Dragon Raas, “Beş Aileler” Kırım Sendikası’nda önemli bir oyuncu olarak ortaya çıktı.
Tehdit, Ghostsec, Blackforums ve SieweSec’i içeren bu grup, Temmuz 2024’teki kuruluşundan bu yana fırtınalı grubun bir dalı olarak dalgalar yapıyor.
Dragon Raas, kendisini hizmet olarak sofistike bir fidye yazılımı (RAAS) operasyonu olarak pazarlamaktadır, ancak saldırıları genellikle büyük ölçekli fidye yazılımı gaspından ziyade bozulmalara ve fırsatçı grevlere odaklanmaktadır.
Kökenler ve evrim
Dragon Raas’ın kökenleri, Rusya’ya düşman olarak algılanan örgütleri hedeflemek için kötü şöhret kazanan Rus yanlısı fırtına grubuna derinden kök salmıştır.
Stormous, Ghostlocker ve Stormcry de dahil olmak üzere çeşitli fidye yazılımı operasyonlarında yer alan daha geniş “Beş Aile” sendikasının bir parçasıdır.
Temmuz 2024’te Dragon Raas, gelecek fidye yazılımı platformunu duyurarak telgraf kanalını başlattı.
Grubun ilk önemli ilanları, Yemen’deki Al-Saeeda Üniversitesi’ne karşı fidye yazılımı saldırısının duyurulmasıyla Ekim 2024’te gerçekleşti.
Bu, Ejderha Raas’ın başta ABD, İsrail, Birleşik Krallık, Fransa ve Almanya’da olmak üzere zayıf güvenlik duruşlarına sahip daha küçük organizasyonları hedeflemeye devam eden aktif kampanyasının başlangıcı oldu.
İlk Erişim ve Sömürü Yöntemleri
Dragon Raas, hedef sistemlere ilk erişim elde etmek için bir dizi taktik kullanır.
Bunlar arasında, kamuya dönük uygulamalardaki güvenlik açıklarından yararlanmak, kaba kuvvet kimlik bilgileri saldırıları ve Infostealer günlüklerinden ödün verilen kimlik bilgilerinden yararlanmak yer alır.
Grup sık sık WordPress temalarını ve eklentilerini, LITESPEED HTTP sunucularını ve cpanel arayüzlerini hedefler.
Dragon RAAS tarafından kullanılan belirli güvenlik açıkları arasında Porto WP teması (CVE-2024-3806 ila CVE-2024-3809) ve LITESPEED HTTP sunucuları (CVE-2022-0073 ve CVE-2022-0074) bulunmaktadır.
Erişim kazanıldıktan sonra, Dragon Raas, arka kapı işlevselliği ve kalıcı fidye yazılımı özellikleri sağlayan bir PHP webshell dağıtır.
.webp)
SentinelOne raporuna göre, bu webshell saldırganların OpenSSL, XOR veya Mcrypt gibi yöntemleri kullanarak dosyaları manipüle etmesine ve şifrelemesine izin veriyor.
Dragon Raas ve benzer gruplara karşı korumak için kuruluşlar, WordPress ve CPanel gibi hizmetleri düzenli olarak güncelleyerek ve yamalayarak kamuya açık uygulamaların güvence altına alınmasına öncelik vermelidir.
Çok faktörlü kimlik doğrulaması da dahil olmak üzere güçlü şifre politikalarının uygulanması da çok önemlidir.
Gelişmiş uç nokta güvenlik çözümlerinin dağıtılması, bu gruplarla ilişkili kötü amaçlı taktiklerin, tekniklerin ve prosedürlerin (TTP’ler) tespit edilmesine ve önlenmesine yardımcı olabilir.
Şüpheli web kabuğu etkinliği için uzlaşma ve denetim sistemleri göstergelerinin izlenmesi, sağlam bir güvenlik duruşunun korunmasında temel adımlardır.
Bu önlemlere odaklanarak, kuruluşlar Dragon Raas ve diğer Kırım sendikasyonlarına karşı savunmasızlıklarını önemli ölçüde azaltabilir.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin