Finansal olarak motive edilen bir grup Türk korsanı, kurbanların dosyalarını MIMIC (N3WW4V3) fidye yazılımı ile şifrelemek için dünya çapında Microsoft SQL (MSSQL) sunucusunu hedefliyor.
Bu devam eden saldırılar yeniden turence olarak izlenir ve Avrupa Birliği, Amerika Birleşik Devletleri ve Latin Amerika'daki hedeflere yönlendirilmiştir.
Kampanyayı tespit eden Securonix tehdit araştırma ekibi, "Analiz edilen tehdit kampanyası, tehlikeye atılan ana bilgisayarlara" erişim "satışı ya da fidye yazılımı yüklerinin nihai olarak teslim edilmesi gibi görünüyor." Dedi.
"Olayların zaman çizelgesi, Mimik fidye yazılımlarının kurban alanına yerleştirilmesine ilk erişimden yaklaşık bir aydı."
Tehdit aktörleri, kaba kuvvet saldırılarında çevrimiçi olarak maruz kalan MSSQL veritabanı sunucularını tehlikeye attı. Daha sonra, SQL Server Hizmeti hesabı ile aynı güvenlik haklarına sahip bir Windows komut kabuğu oluşturmalarına izin veren sistem saklı XP_CMDShell prosedürünü kullandılar.
XP_CMDSHELL varsayılan olarak devre dışı bırakılır, çünkü kötü niyetli aktörler genellikle ayrıcalıklarını yükseltmek için kullanır ve kullanımı genellikle güvenlik denetim araçlarını tetikler.
Bir sonraki aşamada, saldırganlar bir dizi PowerShell komut dosyası ve bellek içi yansıma teknikleri kullanarak, Windows-Yoksal işlem sndvol.exe sürecine enjekte etmek amacıyla bir dizi PowerShell komut dosyası ve bellek içi yansıma teknikleri kullanarak yoğun bir şekilde gizlenmiş bir kobalt grev yükü kullandılar.
Ayrıca Hizmet olarak Anydesk uzak masaüstü uygulamasını indirip başlattılar ve daha sonra Mimikatz kullanılarak çıkarılan net metin kimlik bilgilerini toplamaya başladılar.
Gelişmiş bağlantı noktası tarayıcı yardımcı programını kullanarak yerel ağ ve windows etki alanını taradıktan sonra, ağdaki diğer cihazları hacklediler ve daha önce çalınan kimlik bilgilerini kullanarak etki alanı denetleyicisini tehlikeye attılar.
Daha sonra mimik fidye yazılımı yüklerini AnyDesk aracılığıyla kendi kendine ekleyen arşivler olarak konuşlandırdılar ve ilk olarak Ocak 2023'te gözlenen bir teknik olan Meşru Everyth Everything uygulamasını kullanarak dosyaları aradılar.
Securonix, "MIMIC, şifreleme işlemine yardımcı olmak için ikili dosyaları düşürecek." Red25.exe "durumumuzdaki mimik damlalık, ana fidye yazılımı yükünün hedeflerini tamamlaması için gerekli tüm dosyaları düşürdü." Dedi.
"Şifreleme işlemi tamamlandıktan sonra, RED.EXE işlemi, kurbanın C: \ sürücüsüne '—Amportant - Notice - .txt' olarak kaydedilen şifreleme/ödeme bildirimini yürüttü."
BleepingComputer'ın keşfettiği gibi, fidye notunda (datenklause0@gmail.com) kullanılan e -posta da bu tehdit grubunu Phobos fidye yazılımı saldırılarına bağlar. Phobos ilk olarak 2018'de Crysis fidye yazılımı ailesinden türetilen bir hizmet olarak fidye yazılımı olarak ortaya çıktı.
Securonix, geçen yıl MSSQL sunucularını hedefleyen (DB#jammer olarak izlenir) aynı kaba kuvvet başlangıç erişim saldırısı vektörünü kullanarak ve Freeworld fidye yazılımını (MIMIC fidye yazılımı için başka bir ad) kullandı.
Yeni Mimik Fidye Yazılımı 'Her Şey' Windows Arama Aracı İstismar
Sahte hack-back tekliflerinin hedeflediği fidye yazılımı kurbanları
Hacker tutuklandıktan sonra yayınlanan Babuk Fidye Yazılımı Varyantı için DeFRePtor
Paraguay, Tigo Business Breach'den Sonra Black Hunt Fidye Yazılımı Saldırılarını uyarıyor
Toronto Hayvanat Bahçesi: Fidye yazılımı saldırısının hayvan refahı üzerinde hiçbir etkisi yoktu
Kaynak: Bleeping Computer