Son aylarda, güvenlik araştırmacıları, beyler olarak bilinen daha önce belgelenmemiş bir fidye yazılımı grubu tarafından faaliyette bir artış gözlemlediler.
Bu tehdit oyuncusu, çok sayıda sektör ve bölgede kritik altyapıyı hedefleyen, son derece uzmanlaşmış araçların ve titiz keşif taktiklerinin konuşlandırılmasıyla hızla ayırt etti.
Meşru pencereler ve nüanslı grup politika nesnesi (GPO) manipülasyonundan yararlanan beyler, geleneksel savunmalardan kaçınabilir ve alan çapında uzlaşma sağlayabilir.
Bu grubun ilk saldırı teknikleri kısmen gizlenmiş; Bununla birlikte, adli kanıtlar, tehlikeye atılmış kimlik bilgilerinin veya maruz kalan internete dönük hizmetlerin birincil enfeksiyon vektörleri olarak hizmet ettiğini göstermektedir.
Taban kuruluşunun ardından, beyler, all.exe ve obrottleblood.sys’den oluşan çift bileşenli bir savunma kaçakçılığı paketi kullanıyor-korunan güvenlik süreçlerini sonlandırmak için istismar edilen meşru imzalı bir sürücü.
.webp)
Bu çekirdek düzeyinde manipülasyon, tehdit aktörlerinin standart uyarıları tetiklemeden uç nokta korumalarını nötralize etmelerini sağlar.
Trend Micro analistleri, bu paketin sonraki yinelemelerinin, özellikle de tehlikeye atılan ağda bulunan benzersiz güvenlik aracı bileşenlerini hedefleyen dinamik olarak değiştirilmiş ikili, allpatch2.exe içerdiğini belirtti.
Grup, araçlarını kampanyanın ortasında uyarlayarak hem esnekliği hem de kurumsal güvenlik manzarasının derin bir şekilde anlaşılmasını göstermiştir.
Bu yaklaşım, şifreleme yüklerinin Netlogon Share aracılığıyla yaygın olarak dağıtılmasını kolaylaştırarak, alan adına bağlı sistemlerde hızlı ve kapsamlı dosya şifrelemesini sağladı.
Beyler operasyonlarının etkisi şiddetli olmuştur: Üretim, sağlık ve inşaat gibi kilit sektörler hizmet kesintileri ve kapsamlı veri şifrelemesine maruz kalmıştır.
Mağdurlar, kritik yedeklemelerin kaybını ve WINSCP aracılığıyla hassas bilgilerin yetkisiz bir şekilde eksfiltrasyonunu bildirmiş ve çift genişlemeli bir stratejinin benimsenmesini doğruladılar.
%20(Source%20-%20Trend%20Micro).webp)
Bu, fidye yazılımı saldırı zincirini tasvir ederek, her aşamayı ilk erişimden veri açığa çıkarma yoluyla gösteriyor.
Enfeksiyon mekanizması ve çekirdek seviyesi kaçırma
Beyler metodolojisinin tanımlayıcı bir özelliği, çekirdek düzeyinde yürütme sağlamak için meşru bir Windows sürücüsünden yararlanmasıdır.
Yürütme üzerine, fidye yazılımı bir çift dosya %userprofile %\ indirme dizinine bırakır:-
copy All.exe %USERPROFILE%\Downloads\All.exe
copy ThrottleBlood.sys %USERPROFILE%\Downloads\ThrottleBlood.sysSaldırgan daha sonra sürücüyü hedeflenen güvenlik hizmetlerini sonlandırmaya çağırır: Komut satırı sırası, imzalı sürücü işlevselliğinin bu kötüye kullanılmasını gösterir:-
%USERPROFILE%\Downloads\All.exe install ThrottleBlood.sys
taskkill /IM avagent.exe /F
taskkill /IM VeeamNFSSvc.exe /FBu teknikten yararlanarak, beyler kullanıcı modu baypaslarının sınırlamalarından kaçar.
Çekirdek yürütme sağlandıktan sonra, fidye yazılımı, yüksek komut yürütme için sıklıkla istismar edilen meşru bir yardımcı program olan powerrun.exe kullanarak ayrıcalıkları artırır.
Bu, kötü amaçlı yazılımların kritik kayıt defteri anahtarlarını değiştirmesini sağlar – reg add HKLM\System\CurrentControlSet\Control\Terminal Server /v SecurityLayer /t REG_DWORD /d 1 /f– ve kalıcılık mekanizmalarını GPO nesneleri aracılığıyla dağıtın.
.webp)
Bu saldırı zinciri, sürücü tabanlı süreç sonlandırmasının kod güdümlü aşamalarını gösterir. Meşru araçların özel ikili dosyalarla birleşimi, gizli, uyarlanabilirlik ve etkiyi dengeleyen olgun bir düşmanı örneklendirir.
Kuruluşlar geleneksel uç nokta savunmaları ile mücadele ederken, bu tür gelişmiş taktiklerin ortaya çıkması, proaktif tehdit avına ve sıfır güven ilkelerinin uygulanmasına acil ihtiyacın altını çizmektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.