Shatak (TA551) olarak izlenen bir tehdit oyuncusu yakın zamanda, hedeflenen sistemlerdeki Conti Ransomware'i dağıtmak için ITG23 çetesi (AKA Trickbot ve Sihirbazı Örümcek) ile ortaklaştı.
Shatak operasyonu, kötü amaçlı yazılımları indiren ve enfekte eden kimlik avı kampanyaları oluşturmak için diğer kötü amaçlı yazılım geliştiricilerle ortaklar.
IBM X-Force'dan araştırmacılar, Shatak ve Trickbot'un Temmuz 2021'de birlikte çalışmaya başladığını keşfetti, kampanyalar bugüne kadar devam ettiğinden, iyi sonuçlar gibi görünüyor.
Cyberason'dan yapılan son teknik bir analiz, iki farklı aktörün fidye yazılımı saldırılarını nasıl sağladığı konusunda daha fazla ayrıntı sağlar.
Tipik bir enfeksiyon zinciri, Shatak tarafından gönderilen bir kimlik avı e-postası ile, kötü amaçlı bir belge içeren şifre korumalı bir arşiv taşır.
IBM X-Force tarafından bir Ekim raporuna göre Shatak, önceki mağdurlardan çalınan cevap zinciri e-postaları kullanır ve şifre korumalı arşiv ekleri ekler.
Bu ekler, Trickbot veya Bazarbackdoor malware'i uzak bir sitedeki indirmek ve yüklemek için Base-64 kodlu kodu çalıştıran komut dosyalarını içerir.
En son kampanyada kullanılan dağıtım alanları, Almanya, Slovakya ve Hollanda gibi Avrupa ülkelerine dayanmaktadır.
Trickbot ve / veya Bazarbackdoor'ı başarıyla dağıttıktan sonra, ITG23, uzlaşmış sisteme bir kobalt vuruşu işaretçisini dağıtarak, bu zamanlanmış işler için zamanlanmış görevlere ekleyerek devralarak alır.
Conti aktörleri daha sonra ağ keşif, numaralandırıcı kullanıcılar, etki alanı yöneticileri, paylaşılan bilgisayarlar ve paylaşılan kaynaklar için düşen Bazarbackdoor'ı kullanır.
Sonra kullanıcı kimlik bilgilerini, şifreyi ve Active Directory verilerini çaldılar ve ağ üzerinden yanal olarak yayılabildiklerini kötüye kullanırlar.
Bu aktivitenin bazı belirtileri, RDP bağlantısını etkinleştiren ve Windows Güvenlik Duvarı kurallarını 'Netsh' komutuyla değiştiren kayıt defteri değerleriyle tutkunlardır.
Windows Defender'ın gerçek zamanlı izleme özelliği, şifreleme işlemi sırasında uyarıları veya müdahaleleri önlemek için de devre dışı bırakılır.
Bir sonraki adım, dosya şifrelemesinden önceki son aşama olan veri exfiltrasyonu, 'RCLONE' aracını kullanan 'RCLONE' aracını kontrol altındaki bir uzak uç noktaya göndermek için.
Ağdan tüm değerli verileri topladıktan sonra, tehdit aktörleri fidye yazılımını cihazları şifrelemek için dağıtıyor.
Fransa'nın bilgisayar acil müdahale ekibinden (CERT) son bir raporunda, TA551, birden fazla üyeliğe sahip yeni keşfedilen bir Ransomware grubu olan 'Lockean' işbirliği olarak görünüyor.
Bu durumda, Shatak, Prolock, Egregor ve DoppelPaymer Ransomware enfeksiyonlarını dağıtmak için kullanılan QBOT / QAPBOT bankacılık Trojan'ı dağıtmak için kimlik avı e-postaları gönderiyordu.
Bu nedenle, TA551, analistler tarafından tespit edilenlerin yanı sıra diğer fidyeware çeteleriyle daha fazla işbirliğine sahip olabilir.
Bu tehdit aktör ayrıca Shathak, UNC2420 ve Altın Kabin gibi farklı isimler altında belirlenir.
Bu tür saldırılara karşı en iyi savunma, çalışanları kimlik avı e-postaları riskleri hakkında eğitmektir.
Bunun dışında, yöneticiler, hesaplardaki çok faktörlü kimlik doğrulamasının kullanımını, kullanılmayan RDP hizmetlerini devre dışı bırakarak ve olağandışı yapılandırma değişiklikleri için ilgili olay günlüklerini düzenli olarak izlemelidir.
Son olarak, önemli bir güvenlik önlemi düzenli olarak önemli verileri güvenli bir şekilde uzak bir konuma getirir ve ardından bu yedekleri çevrimdışı olarak alarak tehdit aktörleri tarafından hedeflenemezler.
FIN12 hızlı ve odaklanmış fidye yazılımı saldırıları ile sağlık hizmetlerini vurur
Kimlik Avı E-postaları ürkütücü zombi temalı mircop fidye yazılımı sağlar
Yılan kötü amaçlı yazılımları sadece 25 $ için 50 uygulamada sert ısırma
Rus Orgs, daha küçük tier fidyeware çeteleri tarafından ağır hedeflenen
Sandhills Çevrimiçi Makine Piyasaları Ransomware Attack tarafından Kapatıldı
Kaynak: Bleeping Computer