Bilgisayar korsanları, sileceklerden ve fidye yazılımlarından kurumları çökertmek için araç olarak yararlanıyor; çünkü bu araçlar çok büyük kesintilere ve çok sayıda hasara neden olabiliyor.
Silecekler verileri geri alınamayacak bir şekilde silebilir, öyle ki fidye yazılımı verileri kilitleyebilir ve fidye talep edebilir; bunların tümü büyük mali kayıplara ve operasyonlarda aksama süresine yol açabilir.
Check Point Research’teki siber güvenlik araştırmacıları yakın zamanda Void Manticore’un silecekler ve fidye yazılımları kullanarak yıkıcı saldırılarla kuruluşlara aktif olarak saldırdığını tespit etti.
Void Manticore Saldıran Organizasyonlar
Void Manticore adlı İranlı bir grup, Ekim 2023’ten bu yana İsrailli kuruluşlara karşı silecekler ve fidye yazılımları kullanarak yıkıcı saldırılar gerçekleştirdi.
‘Karma’ kişiliği altındaki verileri sızdırdılar ve ‘BiBi’ adlı özel bir silici kullandılar. Void Manticore, kurban alışverişinde bulunan başka bir grup olan “Scarred Manticore” ile işbirliği yaptı.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Taktikleri basitti ancak Scarred Manticore’un yüksek değerli hedeflere gelişmiş erişiminden faydalanıyordu.
Hacker grubu ‘Karma’, Orta Doğu’daki çatışmalardan, ‘BiBi’ silicisini ve İsrail Başbakanı Netanyahu’ya karşı çıkan anti-siyonist bir kişiliği kullanarak ortaya çıktı.
Başlangıçta tipik hacktivistler olarak görülse de Karma, 40’tan fazla İsrailli kuruluşa yapılan izinsiz girişleri ve bunların veri dökümünü duyurmaya yönelik bir kampanya aracılığıyla adından söz ettirdi.
İlişkilendirme, Karma sızıntıları ile İranlı Scarred Manticore grubunun kurbanları arasında yüksek düzeyde bir örtüşmeyi ortaya çıkardı.
Check Point, dijital adli bilişimin, Void Manticore’un BiBi’yi Scarred Manticore’un önceki kurbanları üzerinde konuşlandırmasına olanak tanıyan web kabukları ve paylaşılan kimlik bilgilerini içeren bir “değiştirme” süreci aracılığıyla erişim sonrası başka bir kişiliği, Void Manticore’u ortaya çıkardığını söyledi.
Void Manticore’da dikkat çeken şey, “hızlı ve kirli” olarak adlandırılabilecek basit ve doğrudan saldırı yöntemlerini kullanmalarıdır. Çoğunlukla başlangıçta “Karma Shell” gibi web kabuklarını kullanarak internete bağlı sunucuları tehlikeye atarlar.
Etki alanı yöneticisi kimlik bilgilerini doğrulamak, tünel açma kabuklarını (reGeorge gibi) ve keşif bilgilerini doğrulamak için RDP’yi kullanırlar.
Hedeflenen bir etki için bazı belirli dosya türlerini bozmak veya tüm bölüm tablosunu yok etmek için kendi sileceklerini oluştururlar ve sonuç olarak tüm disk verilerini kullanılamaz hale getirirler.
Bu onlar tarafından bilinçli olarak yapıldı çünkü diğer gruplardan gelen geçiş erişimini takip eden hızlı, yıkıcı silme saldırıları gerçekleştirme hedefleriyle uyumluydu.
Aşağıda, kullanılan tüm sileceklerden bahsettik: –
- Cl Silecek
- Bölme Silecekleri
- BiBi Silecek
Void Manticore, özel sileceklerinin yanı sıra, dosya silmek için “Windows Gezgini” ve format yardımcı programını kullanarak bölümleri güvenli bir şekilde silmek veya bozmak için Sysinternals SDelete gibi normal yöntemleri kullanır.
Siyasi çatışmaları yıkım silahlarına dönüştüren özel iletişimler kurmak için “Vatan Adaleti” ve “Karma” gibi farklı tanımlamaları kullanıyorlar.
Kurbanların belgelenmiş devir teslimlerini zaman zaman paylaşan gelişmiş bir grup olan Scarred Manticore ile olan yakın ittifakları, Void Manticore’un erişim alanını daha da kapsamlı ve etkili hale getiriyor ve bu da onların son derece tehlikeli bir İranlı tehdit aktörü olmasına yardımcı oluyor.
IOC’ler
64.176.169.22
64.176.172.235
64.176.172.165
64.176.173.77
64.176.172.101
D0C03D40772CD468325BBC522402F7B737F18B8F37A89BACC5C8A00C2B87BFC6
DEEAF85B2725289D5FC262B4F60DDA0C68AE42D8D46D0DC19B9253B451AEA25A
87F0A902D6B2E2AE3647F10EA214D19DB9BD117837264AE15D622B5314FF03A5
85FA58CC8C4560ADB955BA0AE9B9D6CAB2C381D10DBD42A0BCEB8B62A92B7636
74D8D60E900F931526A911B7157511377C0A298AF986D42D373F51AAC4F362F6
CC77E8AB73B577DE1924E2F7A93BCFD852B3C96C6546229BC8B80BF3FD7BF24E
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın