Bir Mimic varyasyonu olan Elpaco fidye yazılımının, saldırganların başarılı bir kaba kuvvet saldırısının ardından RDP aracılığıyla kurbanın sunucusuna bağlanabildiği ve ardından fidye yazılımını çalıştırabildiği tespit edildi.
Bu varyant, dosya keşfi için kullanılan Everything DLL’yi kötüye kullanıyor ve saldırgana, kötü amaçlı yazılımın eylemlerini kişiselleştirmesi için kullanıcı dostu bir grafik kullanıcı arayüzü (GUI) sağlıyor.
Ayrıca sistem talimatlarını yürütmek ve güvenlik önlemlerini kapatmak için araçlar da sağlar.
Saldırganların Taktikleri, Teknikleri ve Prosedürleri (TTP’ler)
Örneğin, Windows PC’lerdeki dosyaları indeksleyerek hızlı aramalar ve gerçek zamanlı güncellemeler sunan meşru bir dosya adı arama motoru olan Everything kitaplığını kötüye kullandığı ortaya çıktı.
TrendMicro’nun daha önce tanımladığı Mimic fidye yazılımına benzer şekilde, yapı, Everything64.dll adı verilen parola korumalı bir pakete ve meşru Everything uygulamalarına (Everything32.dll ve Everything.exe) kötü amaçlı yükleri dahil ederek bu kitaplıktan yararlandı.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Paketin içinde kalan dosya, kötü amaçlı arşiv içeriğini çıkarabilecek meşru bir 7-Zip yardımcı programıydı.
.webp)
Yürütmenin ardından, kötü amaçlı yazılım arşivi açtı ve gerekli dosyaları, adında rastgele oluşturulmuş bir UUID’ye sahip olan %AppData%\Local adlı farklı bir dizine yerleştirdi.
Kaspersky’ye göre Mimic fidye yazılımı, Everything API’lerini kullanarak belirli dosyaları arıyor, kullanıcı bilgilerini şifreliyor, fidye ödemeleri talep ediyor ve saldırıyı hızlandırmak için çok iş parçacıklı şifreleme gibi gelişmiş özellikleri kullanıyor.
Ek olarak Mimic, kodunu gizleyerek tespit edilmekten kaçınır, bu da güvenlik araçlarının saldırıyı tespit etmesini ve sonlandırmasını zorlaştırır.
Arşiv içerikleri, dosyaları şifrelemek ve diğer işletim sistemi işlevlerini yürütmek için gereklidir.
Örneğin Defender Denetim aracı, Windows Defender’ı etkinleştirmek ve devre dışı bırakmak için kullanılan DC.exe dosyasıdır. Paket açıldıktan sonra numune bunu başlatır.
.webp)
Kötü amaçlı yazılımın birincil konsolu olan svhostss.exe de en ilginç eserdir. Bu adın gerçek Windows işlemi svchost.exe’ye çok benzediğine dikkat etmek önemlidir.
Bellek analizi sırasında tehdit aktörleri, daha az bilgili kişilerin kafasını karıştırmak için sıklıkla bu adlandırma modelini kullanır.
Aynı dizinde, kötü amaçlı yazılım gui40.exe adlı bir GUI içerir. Konsol etkileşimi sayesinde, fidye notu veya izin verilen dizinler/dosyalar gibi fidye yazılımı özelliklerini değiştirmek ve hedef makinede işlem yapmak gibi görevlerin yerine getirilmesini kolaylaştırır.
“GUI’de operatör, şifreleme için tüm sürücüleri seçebilir, kötü amaçlı işlemleri gizlemek için bir işlem enjeksiyonu gerçekleştirebilir, fidye notunu özelleştirebilir, şifreleme uzantısını değiştirebilir, orijinal dosya formatına göre şifreleme sırasını ayarlayabilir ve belirli dizinleri hariç tutabilir, Araştırmacılar, dosyaları veya formatları şifrelemeden kurtardığını söyledi.
.webp)
Ayrıca sistem komutlarını yürütmek ve operatörün belirttiği belirli süreçleri öldürmek de mümkündür; bu da bu tehdidi son derece özelleştirilebilir hale getirir.
.webp)
Elpaco ve Mimic varyantları, meşru Everything DLL dosyasından dışa aktarılan SetSearchW işlevini kullanarak kurbanın dosyalarına bakar.
.webp)
Tüm yürütülebilir dosyaları, yapılandırma dosyalarını, DLL’leri, toplu dosyaları ve veritabanıyla ilgili öğeleri fidye yazılımı dizininden kaldırmak için Del komutunu kullanmak, kötü amaçlı yazılım yürütmenin son aşamasıdır.
Örneğin, svhostss.exe dosyasını herhangi bir kurtarma şansı olmadan güvenli bir şekilde sildiğini belirtmek ilginçtir.
Elpaco örnekleri ve diğer Mimic çeşitleri esas olarak Amerika Birleşik Devletleri, Rusya, Hollanda, Almanya ve Fransa’yı hedef alıyor.
Araştırmacılara göre şifreleme mekanizması, özel anahtar olmadan virüs bulaşmış bir makinedeki dosyaların şifresinin çözülmesini önleyerek bu tehdidin üstesinden gelmeyi zorlaştırıyor. Elpaco ayrıca tespit ve analizden kaçınmak için şifreleme sonrasında dosyaları silme özelliğine de sahiptir.
Son zamanlarda Elpaco ve diğer taklit örneklerini kullanan büyük ölçekli saldırıların dünya çapında birçok ülkeyi etkilediği rapor edildi.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın