Microsoft ve siber güvenlik şirketlerinden oluşan bir konsorsiyum, sistemin işleyişini bozmak için yasal ve teknik adımlar attı. ZLoader botnet’ivirüslü ana bilgisayarları kontrol etmek ve iletişim kurmak için kullanılan 65 etki alanının kontrolünü ele geçirdi.
Amy Hogan, “ZLoader, dünyanın dört bir yanındaki işletmelerde, hastanelerde, okullarda ve evlerde bulunan bilgi işlem cihazlarından oluşuyor ve para çalmak ve şantaj yapmak için tasarlanmış bir hizmet olarak kötü amaçlı yazılım işleten küresel bir internet tabanlı organize suç çetesi tarafından yönetiliyor.” Microsoft’un Dijital Suçlar Birimi (DCU) genel müdürü Burney, dedim.
Microsoft, operasyonun ESET, Lumen’deki Black Lotus Labs, Palo Alto Networks Unit 42, Avast, Financial Services Information Sharing and Analysis Center (FS-ISAC) ve Health Information Sharing and Analysis Center (H-ISAC) ile işbirliği içinde gerçekleştirildiğini söyledi. ).
Kesintinin bir sonucu olarak, alanlar artık bir düdene yönlendiriliyor ve botnet’in suçlu operatörlerinin güvenliği ihlal edilmiş cihazlarla iletişim kurmasını etkili bir şekilde önlüyor. Gömülü bir etki alanı oluşturma algoritması aracılığıyla oluşturulan başka bir 319 yedek etki alanı (DGA) da aynı operasyon kapsamında ele geçirildi.
ZLoader, kötü şöhretli muadili TrickBot gibi, başladı türevi olarak Zeus bankacılık truva atı Kasım 2019’da, diğer tehdit aktörlerinin kötü amaçlı yazılımı yeraltı forumlarından satın almalarını ve amaçlarına uygun şekilde yeniden kullanmalarını sağlayan aktif iyileştirmeler ve yükseltmelerden önce.
Microsoft, “ZLoader, güvenlik ve antivirüs araçlarını devre dışı bırakma gibi savunmadan kaçınma yeteneklerini dahil ederek ve fidye yazılımı operatörleri gibi diğer bağlı gruplara bir hizmet olarak erişim satarak, saldırganların tercih ettiği araç olarak önemini korudu” dedi.
“Yetenekleri arasında ekran görüntüleri yakalama, tanımlama bilgileri toplama, kimlik bilgilerini ve bankacılık verilerini çalma, keşif gerçekleştirme, kalıcılık mekanizmalarını başlatma, meşru güvenlik araçlarını kötüye kullanma ve saldırganlara uzaktan erişim sağlama yer alıyor.”
ZLoader’ın temel bir finansal truva atından sofistike bir hizmet olarak kötü amaçlı yazılım (MaaS) çözümüne geçişi, operatörlerin erişimi diğer bağlı kuruluşlara satarak ve daha sonra bunu ek yükleri dağıtmak için kötüye kullanarak para kazanmalarını mümkün kıldı. Cobalt Strike ve fidye yazılımı gibi.
ZLoader’ın dahil olduğu kampanyalar, hedef makinelere ilk erişim sağlamak için kimlik avı e-postalarını, uzaktan yönetim yazılımını ve sahte Google Ads’ü kötüye kullanırken, aynı anda meşru süreçlere kötü amaçlı kod enjekte etmek de dahil olmak üzere savunmadan kaçınma için çeşitli karmaşık taktikler kullandı.
İlginç bir şekilde, kötü amaçlı yazılımın Şubat 2020’den bu yana yaptığı kötü amaçlı etkinliklerin bir analizi, operasyonların çoğunun Ekim 2020’den bu yana yalnızca iki bağlı kuruluştan kaynaklandığını ortaya çıkardı: “dh8f3@3hdf#hsf23” ve “03d5ae30a0bd934a23b6a7f0756aa504.”
İlki “ZLoader’ın kötü amaçlı yükleri botlarına dağıtmak için keyfi yükleri dağıtma yeteneğini” kullanırken, bugüne kadar aktif olan diğer bağlı kuruluş, Slovak siber güvenlik firması olan bankacılık, kripto para platformları ve e-ticaret sitelerinden kimlik bilgilerini çalmaya odaklanmış görünüyor. ESET dedim.
Her şeyden önce Microsoft, fidye yazılımı suşlarını dağıtmak için botnet tarafından kullanılan bir modülün geliştirilmesinin arkasındaki aktörlerden biri olarak Kırım Yarımadası’ndaki Simferopol şehrinde yaşayan Denis Malikov’un maskesini düşürdü. failin “siber suçluların suçlarını işlemek için internetin anonimliğinin arkasına saklanmalarına izin verilmeyeceğini açıkça belirtmek”.
Kaldırma çabası, kötü üne sahip TrickBot botnet’i Ekim 2020’de bozmaya yönelik küresel bir operasyonu andırıyor. Botnet geçen yıl geri dönmeyi başarsa da, o zamandan beri kötü amaçlı yazılım yazarları tarafından BazarBackdoor gibi diğer gizli varyantlar lehine emekli edildi.
Microsoft, “Birçok modern kötü amaçlı yazılım türevi gibi, ZLoader’ı bir cihaza yüklemek çoğu zaman daha büyük bir saldırıya dönüşen şeyin ilk adımıdır” dedi. “Truva atı, giderek daha tehlikeli tehditler barındıran yaygın kötü amaçlı yazılım eğilimini daha da iyi örnekliyor.”