Güvenlik uzmanları, tipik olarak Apt (gelişmiş kalıcı tehdit) grupları tarafından kullanılan ısmarlama araçları kullanan şüpheli bir fidye yazılımı saldırısının ilginç bir örneğini görmüştür.
Gruplar arasında somut bir bağlantı açılmamış olmasına rağmen, operasyonel taktikler, hedefleme kapsamı ve kötü amaçlı yazılım özelleştirme yetenekleri potansiyel bir bağlantıyı gösterir.
Bir raporda detaylandırıldığı gibi, Güvenlik Joes tarafından Bleeping Bilgisayarı'na gönderilen tehdit aktörleri, bir ısmarlama ve hazır açık kaynaklı araçların bir karışımının kullanıldığı kumar / oyun endüstrisinde müşterilerinden birine karşı bir saldırıda gözlemlenen tehdit aktörleri kullanıldı.
En kayda değer vakalar, GitHub'daki pentesterler için serbestçe mevcut olan bir ters tünelleme yardımcı programı ve LSASS'ten kimlik bilgileri dökmek için özel bir araç olan Ligolo'nun değiştirilmiş bir sürümüdür.
Güvenlik Joes'teki olayı yanıt verenlere göre, saldırı bir hafta sonu akşamı üzerinde ortaya çıktı ve aktörlerin becerilerini ve "kırmızı ekiplik" bilgisini sergileyen hızlı bir gelişmeyi izledi.
İlk erişim, uzlaşmış çalışan SSL-VPN kimlik bilgileri, ardından yönetici taramaları ve RDP kaba kuvvet ve daha sonra kimlik bilgisi hasat çabaları ile geldi.
Daha sonraki adımlar, yüksek ayrıcalıklara sahip ek makinelere, güvenli iletişim için özel bir proxy tünelinin dağıtılması ve nihayet kobalt grevinin düşmesi ile ilgili ek makinelere ulaşılmalıdır.
Tehdit aktörleri bu özel durumda, daha fazla devam etme şansı olmasa da, güvenlik Joes, bir sonraki adımın bir fidye yazılım yükü yükünü dağıtması gerektiğine inanıyor, çünkü yöntemler, tipik Ransomware Gang operasyonlarınınkilerle eşleştiği için.
Bununla birlikte, bu kısım, cevap verenler, infiltratorlar ödün verilen ağda hiçbir şey dağıtmaya hazır olmadan önce yükün yükünün yürütülmesini durdurduğu için onaylanmamıştır.
Tehdit aktörleri, Mimikatz, SoftPerfect ve Kobalt Strikesi gibi sayısız rakip tarafından yaygın olarak kullanılan birkaç açık kaynaklı araç kullandılar.
Önemli bir farklılaşma, Ligolo açık kaynaklı ters tünelleme aracına dayanan Golang-yazılı bir yardımcı program olan 'Sockbot''un konuşlandırılmasıdır.
Hacker, Ligolo'yu, komut satırı parametrelerini kullanma ihtiyacını kaldıran ve birden fazla örneği çalıştırmaktan kaçınmak için birkaç yürütme kontrolü dahil olan anlamlı eklemelerle değiştirdi.
Güvenlik Joes'u araştırmacı olarak, Bleeping Bilgisayarını anlattı olarak, özelleştirilmiş bir Ligolo, İran Devlet Sponsorlu Muddywater Hacking Grubu'nun dışında, değiştirdiği bilinen tek tehdit grubu olan herhangi bir tehdit aktörünün arsenalinde ortak bir görüş değil.
Bu nadirliğin nedeni, Ligolo'nun kötü niyetli bir dağıtım için uygun olmadığıdır, bu nedenle izinsiz giriş operasyonlarına uyması için kodlama becerileri gereklidir.
"Yeni Varyant (Sockbot) 'nin çevrimiçi kaynak koduna uygun olarak, tehdit aktörleri aynı anda çalışan birden fazla örneğinden kaçınmak için, birden fazla yürütme kontrolünü ekledi, yerel rölenin ihtiyacını önlemek için sert kodlanmış bir dize olarak tanımladı. Saldırıyı yürütürken ve zamanlanmış bir görev yoluyla kalıcılığı ayarlarken komut satırı parametrelerinin geçilmesi. " - güvenlik joes
Diğer özel bir ilgi durumu, Golang'da da yazılmış olan, aktörler tarafından LSASS işleminden "Transfer.sh" servisine kadar otomatik exfiltrasyon için kullanılan 'LsasSTumper'.
Güvenlik Joes, bunun ilk kez LsasSTumper'ın vahşi doğada görüldüğü ilk kez olduğunu iddia ediyor, bu da belirli tehdit aktörünün kapasitesini ve sofistike olduğunu gösteriyor.
Ayrıca, LSASS'ten gelen kimlik bilgilerinin doğrudan terk edilmesi, başka bir fidyeware çetelerinin bir başka yöntemidir, bu nedenle bu hipotezi destekleyen başka bir unsurdur.
Son olarak, ağ infiltratorları, ağ keşif için ADFind'u kullandılar, rakiplerin Active Directory'den bilgi toplamak için kullandığı serbestçe kullanılabilir bir araç, Ransomware alanında da çok yaygın olarak kullanıyor.
"Davranışa dayanarak, bu izinsizliğin ve hedeflenen sektörlerde görülen araçlar, bu operasyonun arkasındaki saldırganların, diğer gruplar tarafından kullanılan aletleri alan ve kişisel imzalarını ekleyen Rusca konuşan bir Ransomware çetesi ile sıkıca ilişkili olduğu sonucuna vardık. onlara." - Raporu güvenlik joes'ten sonlandırır.
Revil Ransomware Üyesi, Kaseya Saldırısı için yargılanmak için U.
Spor Marka Mizuno Ransomware Saldırı ile Hit Siparişler Geciktirir
CyberAttack'tan sonra Vodafone Portekiz 4G ve 5G hizmetleri
Kanun İcra Eylemi Ransomware çetelerini cerrahi saldırılara itmek
Business Services Sağlayıcısı Morley, Ransomware Olayını Açıkladı
Kaynak: Bleeping Computer