Cephalus adlı yeni tanımlanmış fidye yazılımı suşu, kuruluşları tehlikeye atılmış uzak masaüstü protokolü (RDP) bağlantıları aracılığıyla hedefleyen sofistike bir tehdit olarak ortaya çıktı.
Adını, karısını yanılmaz bir ciritle trajik bir şekilde öldüren Hermes’in oğluna atıfta bulunan Yunan mitolojisinden alan kötü amaçlı yazılım, fidye yazılımı dağıtım tekniklerinde ilgili bir evrimi temsil ediyor.
Cephalus, benzersiz enfeksiyon metodolojisi ve sofistike kaçış taktikleri aracılığıyla kendisini diğer fidye yazılımı ailelerinden ayırır.
Kötü amaçlı yazılım operatörleri, dünya çapında organizasyonları rahatsız etmeye devam eden bir güvenlik açığı olan çok faktörlü kimlik doğrulamasından (MFA) sahip olmayan RDP kimlik bilgilerini kullanarak hedef ağlara ilk erişim elde eder.
Ağın içine girdikten sonra, saldırganlar fidye yazılımı yükünü dağıtmadan önce veri açığa çıkması için mega bulut depolama platformunu kullanır.
.webp)
Fidye yazılımı dağıtım mekanizması, meşru güvenlik yazılımı bileşenleri aracılığıyla DLL kenar yükünü kullanarak özellikle akıllı bir yaklaşım içerir.
Huntress analistleri, 13 Ağustos ve 16 Ağustos 2025 tarihinde meydana gelen iki ayrı olayın araştırılması sırasında bu tekniği belirledi ve burada kötü amaçlı yazılım, meşru Sentinelone güvenlik ürünleri işleten kuruluşlara başarıyla sızdı.
DLL Sideloading ve Yürütme Zinciri
Cephalus’un teknik olarak en ilgi çekici yönü, dağıtım stratejisinde yatmaktadır, bu da meşru bir Sentinelone yürütülebilir dosyasını kullanan SentinelBrowserNativeHost.exe.
Fidye yazılımı operatörleri, bu meşru ikili kullanıcının indirme klasörüne yerleştirir, burada kötü niyetli bir DLL adını yükler SentinelAgentCore.dll.
Bu DLL daha sonra adlı bir dosya yükler data.bin gerçek fidye yazılımı kodunu içeren, algılamadan kaçmaya yardımcı olan çok aşamalı bir yürütme zinciri oluşturma.
Başarılı yürütme üzerine Cephalus, gömülü komutları çalıştırarak hemen sistem kurtarma önlemeye başlar.
Yürütülen ilk komut vssadmin delete shadows /all /quietDosya kurtarma için kullanılabilecek ses gölge kopyalarını ortadan kaldıran.
Kötü amaçlı yazılım daha sonra, kritik sistem işlemleri ve .cache, .tmp, .dat ve .sss dosyaları gibi dosya uzantıları için istisnalar oluşturan bir dizi PowerShell komutu aracılığıyla Windows Defender’ı sistematik olarak devre dışı bırakır.
Fidye yazılımı, gerçek zamanlı koruma, davranış izleme ve erişim üzerindeki koruma özelliklerini devre dışı bırakmak için Windows kayıt defteri girişlerini daha da değiştirir.
Gizli pencere stilleriyle yürütülen PowerShell komutları aracılığıyla SecurityHealthService, Sense, Windefend ve WDNISSVC gibi Windows Defender hizmetlerini durdurur ve devre dışı bırakır.
.webp)
Cephalus fidye notları benzersiz bir özellik içeriyor – önceki başarılı saldırılarla ilgili haber makalelerine referans veriyorlar, güvenilirlik sağlamaya ve kurbanlar için aciliyet yaratmaya çalışıyorlar.
Kötü amaçlı yazılım dosyaları .sss uzantısıyla şifreler ve ödeme talimatları içeren recover.txt dosyalarını oluşturur.
Kuruluşlar, RDP erişimi için MFA uygulayarak, olağandışı yerlerde meşru güvenlik aracı yürütülebilir ürünlerinin yetkisiz kullanımını izleyerek ve kapsamlı uç nokta algılama özelliklerini koruyarak kendilerini koruyabilir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.