EXFILTRATOR-22 (namı diğer EX-22) adlı yeni bir sömürü sonrası çerçeve, radarın altında uçarken kurumsal ağlarda fidye yazılımı dağıtma hedefiyle vahşi doğada ortaya çıktı.
CYFIRMA yeni bir raporda, “Geniş bir yetenek yelpazesiyle birlikte gelir ve kullanım sonrası süreci, aracı satın alan herkes için çocuk oyuncağı haline getirir,” dedi.
Dikkate değer özelliklerden bazıları, yükseltilmiş ayrıcalıklara sahip bir ters kabuk oluşturma, dosya yükleme ve indirme, tuş vuruşlarını günlüğe kaydetme, dosyaları şifrelemek için fidye yazılımı başlatma ve gerçek zamanlı erişim için canlı bir VNC (Sanal Ağ Hesaplama) oturumu başlatmayı içerir.
Ayrıca, sistem yeniden başlatıldıktan sonra devam edecek, bir solucan aracılığıyla yanal hareket gerçekleştirecek, çalışan işlemleri görüntüleyecek, dosyaların kriptografik karmalarını oluşturacak ve kimlik doğrulama belirteçlerini çıkaracak şekilde donatılmıştır.
Siber güvenlik firması, kötü amaçlı yazılımı oluşturmaktan sorumlu olan tehdit aktörlerinin Kuzey, Doğu veya Güneydoğu Asya’dan faaliyet gösterdiklerini ve büyük olasılıkla LockBit fidye yazılımının eski ortakları olduklarını değerlendirdi.
Telegram ve YouTube’da tamamen tespit edilemez bir kötü amaçlı yazılım olarak reklamı yapılan EX-22, ayda 1.000 ABD Doları veya ömür boyu erişim için 5.000 ABD Doları olarak sunulmaktadır. Araç setini satın alan suçlulara, EX-22 sunucusuna erişmeleri ve kötü amaçlı yazılımı uzaktan kontrol etmeleri için bir oturum açma paneli sağlanır.
27 Kasım 2022’deki ilk görünümünden bu yana, kötü amaçlı yazılım yazarları araç setini sürekli olarak yeni özelliklerle yineledi ve bu da aktif geliştirme çalışmasına işaret ediyor.
LockBit 3.0’a bağlantılar, teknik ve altyapı çakışmalarından kaynaklanmaktadır; her iki kötü amaçlı yazılım ailesi de komut ve kontrol (C2) trafiğini gizlemek için aynı etki alanı ön mekanizmasını kullanır.
İşletmeniz 2023’ün En Önemli SaaS 🛡️ Güvenlik Zorluklarına Hazır mı? Bunlarla Nasıl Başa Çıkacağınızı Öğrenin – Web Seminerimize Hemen Katılın!
İstismar sonrası hizmet olarak çerçeve (PEFaaS) modeli, güvenliği ihlal edilmiş cihazlara uzun bir süre boyunca gizli erişimi sürdürmek isteyen saldırganlar için mevcut olan en son araçtır.
Ayrıca Manjusaka ve Alchimist gibi diğer çerçevelerin yanı sıra Cobalt Strike, Metasploit, Sliver, Empire, Brute Ratel ve Havoc gibi kötü niyetli amaçlar için seçilmiş meşru ve açık kaynak alternatiflerine de katılıyor.