Siber Muhbir

Kaspersky, "İncelenen grubun Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec ve diğerleri gibi yardımcı programları içeren bir araç seti var" dedi. "Son yük olarak, grup iyi bilinen fidye yazılımı LockBit 3.0 ve Babuk'u kullandı."

Kötü niyetli saldırıların kurbanları arasında devlet kurumlarının yanı sıra Rusya'da bulunan madencilik, enerji, finans ve perakende şirketleri de yer alıyor.

Rus siber güvenlik satıcısı, ilk izinsiz giriş vektörünü yalnızca iki durumda tam olarak belirleyebildiğini ve tehdit aktörlerinin VPN aracılığıyla dahili sistemlere bağlanmak için bir yüklenicinin oturum açma kimlik bilgilerini kullandığını söyledi.

VPN bağlantılarının, bir Rus barındırma sağlayıcısının ağı ve bir yüklenicinin ağıyla ilişkili IP adreslerinden kaynaklandığı söyleniyor ve bu, güvenilir ilişkileri silahlandırarak radarın altından uçma girişimini gösteriyor. Yüklenici ağlarının VPN hizmetleri veya yamalanmamış güvenlik açıkları aracılığıyla ihlal edildiğine inanılıyor.

İlk erişim aşaması, uzaktan erişimi sürdürmek için NSSM ve Localtonet yardımcı programlarının kullanılmasıyla başarılı olur ve takip eden istismar aşağıdaki gibi araçlarla kolaylaştırılır:

• Kimlik doğrulama verilerini toplamak için XenAllPasswordPro
• CobInt arka kapısı
• Mimikatz kurbanların kimlik bilgilerini alacak
• dumper.ps1 Kerberos biletlerini LSA önbelleğinden dökmek için
• lsass.exe belleğinden oturum açma kimlik bilgilerini çıkarmak için MiniDump
• Google Chrome ve Microsoft Edge tarayıcılarında depolanan kimlik bilgileri cmd.exe kopyalanır
• Ağ keşfi için PingCastle
• Uzaktan komutları çalıştırmak için PAExec
• Uzaktan erişim için AnyDesk ve resocks SOCKS5 proxy

Saldırılar, Windows için LockBit 3.0 ve Linux/ESXi için Babuk'un halka açık sürümlerini kullanarak sistem verilerinin şifrelenmesiyle sona ererken, aynı zamanda kurtarmayı engellemek için Geri Dönüşüm Kutusu'nda bulunan verileri şifrelemek için adımlar atıyor.

Kaspersky, "Saldırganlar, gelecekteki iletişim için Oturum mesajlaşma hizmetinde kimliklerini içeren bir bağlantı içeren bir fidye notu bırakıyor" dedi. "SSH aracılığıyla ESXi sunucusuna bağlanacaklar, Babuk'u yükleyecekler ve sanal makinelerdeki dosyalar için şifreleme işlemini başlatacaklardı."

Crypt Ghouls'un bu saldırılardaki araç ve altyapı seçimi, MorLock, BlackJack, Twelve ve Shedding Zmiy (diğer adıyla ExCobalt) dahil olmak üzere son aylarda Rusya'yı hedef alan diğer gruplar tarafından yürütülen benzer kampanyalarla örtüşüyor

Şirket, "Siber suçlular, genellikle taşeronlara ait olan güvenliği ihlal edilmiş kimlik bilgilerinden ve popüler açık kaynaklı araçlardan yararlanıyor" dedi. "Rusya'ya yönelik saldırılarda kullanılan ortak araç seti, ilgili belirli hacktivist grupları belirlemeyi zorlaştırıyor."

"Bu, mevcut aktörlerin sadece bilgiyi değil, aynı zamanda araç setlerini de paylaştığını gösteriyor. Tüm bunlar, Rus örgütlerine yönelik saldırı dalgasının arkasındaki belirli kötü niyetli aktörlerin tespit edilmesini daha da zorlaştırıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.