Play Ransomware Group, .NET'te siber saldırılarının etkinliğini artırmak için kullandığı Grixba ve VSS kopyalama aracı olmak üzere iki özel araç geliştirdi.
İki araç, saldırganların tehlikeye atılmış ağlardaki kullanıcıları ve bilgisayarları numaralandırmasını, güvenlik, yedekleme ve uzaktan yönetim yazılımı hakkında bilgi toplamasını ve Cilt Shadow Copy Hizmetinden (VSS) dosyaları kilitli dosyaları atlamak için kolayca kopyalamasını sağlar.
Symantec'teki güvenlik araştırmacıları yeni araçları keşfetti ve analiz etti ve raporlarını yayınlamadan önce bulgularını BleepingComputer ile paylaştı.
Grixba, bir alan adındaki kullanıcıları ve bilgisayarları numaralandırmak için kullanılan bir ağ tarama ve bilgi çalma aracıdır. Ayrıca, ağ cihazlarında hangi yazılımın çalıştığını belirlemek için WMI, WINRM, uzak kayıt defteri ve uzaktan hizmetleri kullanan bir 'tarama' modunu destekler.
Tarama işlevini gerçekleştirirken Grixba, anti-virüs ve güvenlik programları, EDR süitleri, yedekleme araçları ve uzaktan uygulama araçlarını kontrol edecektir. Ayrıca, tarayıcı potansiyel olarak taranan bilgisayar türünü belirlemek için ortak ofis uygulamalarını ve DirectX'i kontrol eder.
Araç, toplanan tüm verileri CSV dosyalarında kaydeder, bunları bir zip arşivine sıkıştırır ve ardından saldırganların C2 sunucusuna ekspiltrat ederek saldırının sonraki adımlarının nasıl planlanacağı konusunda hayati bilgiler verir.
Symantec tarafından Play Ransomware saldırılarında tespit edilen ikinci özel araç, saldırganların paketlenmiş bir Alphavss .NET kütüphanesi kullanarak API çağrıları aracılığıyla Volume Shadow Copy Hizmeti (VSS) ile etkileşime girmesini sağlayan VSS kopyalama aracıdır.
Cilt Gölge Kopyalama Hizmeti, kullanıcıların belirli zaman noktalarında sistem anlık görüntülerini ve verilerinin yedek kopyalarını oluşturmalarını ve veri kaybı veya sistem yolsuzluğu durumunda geri yüklemelerini sağlayan bir Windows özelliğidir.
VSS kopyalama aracı, bu dosyalar uygulamalar tarafından kullanıldığında bile mevcut gölge ses seviyesinden kopyalardan dosyaları çalmasını sağlar.
Symantec tarafından analiz edilen her iki araç da, bağımlılık gerektirmeyen bağımsız yürütülebilir dosyalar oluşturabilen ve tehlikeye atılan sistemlere dağıtılmayı kolaylaştırabilen Costura .NET geliştirme aracı kullanılarak yazılmıştır.
Fidye yazılımının özel araçları kullanması, kötü şöhretli tehdit oyuncusunun saldırılarının etkinliğini artırmayı ve kötü amaçlı görevlerini daha verimli bir şekilde gerçekleştirmeyi amaçladığını gösterir.
Yılın başlangıcından bu yana, Play Ransomware, Kaliforniya'daki Oakland Şehri, A10 Networks, Arnold Clark ve Rackspace dahil olmak üzere birkaç yüksek profilli kurban aldı.
Microsoft yamaları Windows Sıfır Gün
Ex-Conti üyeleri ve Fin7 Devs yeni Domino kötü amaçlı yazılımları zorlamak için bir araya geliyor
Vice Society Ransomware, saldırılarda yeni PowerShell Veri hırsızlığı aracı kullanıyor
Fidye Yazılımı Saldırılarında Windows Sıfır Gün Güvenlik Açığı
CISA, ajanslara fidye yazılım çetesi tarafından kullanılan yedek yürütme hatalarını yamaya sipariş ediyor
Kaynak: Bleeping Computer