En azından fidye yazılımı tehdidi aktöründe, son zamanlarda keşfedilen PetItpotam NTLM Röle Saldırı Yönteminin, dünya çapındaki çeşitli ağlarda Windows etki alanını devralacak şekilde yararlanmaya başladı.
Saldırıların arkasında, ilk olarak Temmuz ayında görülen LockFile adlı yeni bir Ransomware çetesi olarak görülüyor, bu da işteki diğer gruplara benzer bir şekilde benzerlik ve referanslar gösteriyor.
Lockfile saldırıları çoğunlukla ABD ve Asya'da kaydedildi, mağdurları aşağıdaki sektörlerde kuruluşlar dahil mağdurları: finansal hizmetler, imalat, mühendislik, yasal, ticari hizmetler, seyahat ve turizm.
Bir Broadcom'un bir bölümü olan Symantec'deki güvenlik araştırmacıları, aktörün ağdaki ilk erişiminin Microsoft Exchange sunucuları aracılığıyla olduğunu söyledi.
Symantec'in saldırı analizi kesin yöntemi ortaya çıkarmadı, ancak bir IP adresi verdiler (209.14.0 [.] 234) güvenlik araştırması yapan Kevin Beaumont, 13 Ağustos'tan bu yana proxyshell güvenlik açığını sökülen saldırılarda gördü. Beaumont ayrıca ayrıntılı bir blog yazısı yayınladı. Proxyshell'i sömüren birden fazla aktör hakkında.
Daha sonra, saldırgan, YENİ PETITPOTAM yöntemini kullanan yeni PETITPOTAM yöntemini kullanan yeni PETITPOTAM yöntemini kullanarak, LOCKFile'in kontrolü altında bir uzak NTLM rölesine güçlendirerek.
Temmuz ayında güvenlik araştırmacısı Gilles Lionel tarafından keşfedilen Petitpotam, Microsoft'un engellemeye çalıştığı birkaç varyasyona sahiptir. Bu noktada, resmi azaltma ve güncellemeler Petitpotam saldırı vektörünü tamamen engellemez.
LockFile Tehdit Oyuncusu, orijinal petitpotam (CVE-2021-36942 olarak izlenen) varyantından yararlanmak için halka açık bir şekilde kullanılabilir görünüyor.
Saldırganlar etki alanı denetleyicisini başarılı bir şekilde ele geçirdikten sonra, tüm Windows etki alanının üzerinde etkili bir şekilde kontrol sahibi olurlar ve istediğiniz herhangi bir komutu çalıştırabilirler.
Symantec, bugün bir blog yazısında, LockFile Ransomware'den fidye notunun Lockbit Ransomware grubu tarafından kullanılan birine çok benzer olduğu söyleniyor.
Ayrıca, yeni çete ayrıca kurban için ayrıldıkları iletişim e-posta adresindeki conti çetesine de çok ince bir referans veriyor gibi görünüyor: @ contipauper [.] Com.
E-postanın etki alanının seçimi hakkında spekülasyon yapsaydık, LockFile'nin çetenin saldırı oyun kitabını sızdıran hoşnutsuz conti bağlı kuruluşun projesi gibi göründüğünü söyleyebiliriz.
Symantec, LockFile'nin saldırı zincirini analiz etti ve bilgisayar korsanlarının genellikle bu tür saldırılar için tipik olan dosya şifreleyen kötü amaçlı yazılımları patlatmadan önce ağda en az birkaç gün geçirdiğini unutmayın.
Araştırmacılar, mağdurun Exchange sunucusundan ödün verildiğinde, saldırganın uzak bir konumdan bir dosyayı indiren bir PowerShell komutunu çalıştırdığını söylüyor.
Saldırının son aşamasında, fidye yazılımını dağıtmadan önce 20 ila 30 dakika, tehdit aktör, PETITPOTAM EXPLOIT ve iki dosyayı tehlikeye atılan Exchange sunucusuna yükleyerek etki alanı denetleyicisini devralmaya devam eder:
Meşru KUGOU aktif masaüstü başlatıcısı, güvenlik yazılımı tarafından algılamayı kaldırmak için kötü amaçlı DLL dosyasını yüklemek için bir DLL kaçırma saldırısı yapmak için suistimal edilir.
Araştırmacılar, başlatıcının yüklendiğinde, DLL, ShellCode içeren "Desktop.ini" adlı bir dosyayı yüklemeye ve şifresini çözmeye çalışır. Symantec, analiz için dosyayı almadı, ancak başarılı bir işlemin kabuk kodunu çalıştırmasıyla bittiğini söylüyor.
"Şifrelenmiş ShellCode, ancak, Petitpotam'ı istismar eden Efspotato.exe dosyasını çok büyük olasılıkla aktive ediyor" - Symantec
Son adım, yerel etki alanı denetleyicisindeki LockFile Ransomware yükleme yükünü kopyalamak ve sunucuya kimlik doğrulamadan hemen sonra istemci ana bilgisayarlarında çalışan bir komut dosyası ve yürütülebilenler yardımıyla ağ üzerinden itin.
Symantec, LOCKFILE'nin yeni bir fidye yazılım aktör olduğuna ve işteki diğer oyuncularla toplumda ve emekli olarak bilinenlerin bir bağlantısı olabileceğine inanıyor.
LockFile hala aktif ve yakın zamanda bir kurban ağının içinde olduğu gibi görülmüştür.
Güncelleme: Makale Güncellemesi İlk erişim için Proxyshell güvenlik açığını sömüren saldırgan hakkında bilgi ile.
Microsoft Exchange Sunucuları Yeni LockFile Ransomware tarafından hacklendi
Ransomware'deki Hafta - 20 Ağustos 2021 - Pencereleri Kullanma
Windows PetitPotam saldırıları yeni yöntem kullanılarak engellenebilir
Lockbit Ransomware şimdi Grup İlkeleri Kullanarak Windows Etki Alanlarını Şifreler
FBI: ONEPERCENT GROUP Ransomware, 2020 yılsından bu yana ABD ORG'lerini hedef aldı
Kaynak: Bleeping Computer