RansomHub Group, En Son Siber Saldırılarda Yeni EDR Öldürme Aracını Kullanıyor

EDR öldürme aracı, aracı Mayıs 2024'te başarısız bir fidye yazılımı saldırısıyla bağlantılı olarak keşfeden siber güvenlik şirketi Sophos tarafından EDRKillShifter olarak adlandırıldı.

Güvenlik araştırmacısı Andreas Klopsch, "EDRKillShifter aracı, kötüye kullanıma karşı savunmasız olan meşru bir sürücü için bir dağıtım mekanizması olan bir 'yükleyici' çalıştırılabilir (aynı zamanda 'kendi savunmasız sürücünüzü getirin' veya BYOVD aracı olarak da bilinir)" dedi. "Tehdit aktörünün gereksinimlerine bağlı olarak, çeşitli farklı sürücü yükleri sağlayabilir."

Knight fidye yazılımının şüpheli bir yeniden markası olan RansomHub, Şubat 2024'te ortaya çıktı ve ilk erişimi elde etmek ve kalıcı erişim için Atera ve Splashtop gibi meşru uzak masaüstü yazılımlarını bırakmak için bilinen güvenlik kusurlarından yararlandı.

Geçen ay Microsoft, Scattered Spider olarak bilinen kötü şöhretli e-suç örgütünün RansomHub ve Qilin gibi fidye yazılımı türlerini cephaneliğine dahil ettiğini açıkladı.

Bir parola dizesi girişiyle birlikte komut satırı aracılığıyla yürütülen yürütülebilir dosya, BIN adlı gömülü bir kaynağın şifresini çözer ve bellekte yürütür. BIN kaynağı, Go tabanlı nihai, gizlenmiş bir yükü açar ve çalıştırır, bu da daha sonra yükseltilmiş ayrıcalıklar elde etmek ve EDR yazılımını devre dışı bırakmak için farklı savunmasız, meşru sürücülerden yararlanır.

Klopsch, "İkilinin dil özelliği Rusça'dır, bu da kötü amaçlı yazılım yazarının yürütülebilir dosyayı Rusça yerelleştirme ayarlarına sahip bir bilgisayarda derlediğini gösterir" dedi. "Paketlenmemiş tüm EDR katilleri, .data bölümüne savunmasız bir sürücü yerleştiriyor."

Tehdidi azaltmak için sistemleri güncel tutmanız, EDR yazılımında kurcalama korumasını etkinleştirmeniz ve Windows güvenlik rolleri için güçlü hijyen uygulamanız önerilir.

Klopsch, "Bu saldırı ancak saldırgan kontrol ettiği ayrıcalıkları yükseltirse veya yönetici haklarını elde edebilirse mümkündür" dedi. "Kullanıcı ve yönetici ayrıcalıkları arasındaki ayrım, saldırganların sürücüleri kolayca yüklemesini önlemeye yardımcı olabilir."

Gelişme, tehdit aktörlerinin BitDefender, Malwarebytes ve Sophos'tan meşru antivirüs ikili dosyalarını değiştirerek ve devam eden bir kampanyanın parçası olarak bir komut ve kontrol (C2) sunucusu aracılığıyla proxy bağlantıları kurmak için dosyaları sahte sertifikalarla yeniden imzalayarak SbaProxy adlı yeni bir gizli kötü amaçlı yazılım gönderdiğinin gözlemlenmesiyle geldi.

SbaProxy, istemci ile hedef arasında, trafiği C2 sunucusu ve virüslü makine üzerinden yönlendirecek şekilde bir proxy bağlantısı kurmak üzere tasarlanmıştır. Kötü amaçlı yazılım yalnızca TCP bağlantılarını destekler.

AT&T LevelBlue Labs, "Bu tehdidin önemli bir etkisi var, çünkü kötü niyetli faaliyetleri kolaylaştıran ve potansiyel olarak finansal kazanç için satılan proxy hizmetleri oluşturmak için kullanılabilir" dedi. "DLL'ler, EXE'ler ve PowerShell komut dosyaları gibi çeşitli biçimlerde dağıtılan bu aracın, sofistike tasarımı ve meşru görünümü nedeniyle tespit edilmesi zordur."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği