Vice Society fidye yazılımı çetesiyle bağlantılı tehdit aktörlerinin, özel yapım PowerShell tabanlı bir araç kullanarak radarın altından geçip güvenliği ihlal edilmiş ağlardan veri sızdırma sürecini otomatikleştirdiği gözlemlendi.
“Yerleşik kullanan tehdit aktörleri (TA’lar) veri hırsızlığı yöntemler beğenmek [living off the land binaries and scripts] Palo Alto Networks Unit 42 araştırmacısı Ryan Chapman, güvenlik yazılımı ve/veya insan tabanlı güvenlik algılama mekanizmaları tarafından işaretlenebilecek harici araçlar getirme ihtiyacını ortadan kaldırabilir. söz konusu.
“Bu yöntemler ayrıca genel işletim ortamı içinde gizlenebilir ve tehdit aktörüne yıkım sağlayabilir.”
Microsoft tarafından DEV-0832 adı altında izlenen Vice Society, Mayıs 2021’de ortaya çıkan haraç odaklı bir bilgisayar korsanlığı grubudur. Hedeflerine ulaşmak için yeraltında satılan fidye yazılımı ikili dosyalarına güvendiği biliniyor.
Aralık 2022’de SentinelOne, grubun, dosyaları güvenli bir şekilde şifrelemek için asimetrik ve simetrik şifrelemeyi birleştiren hibrit bir şifreleme şeması uygulayan PolyVice adlı bir fidye yazılımı varyantını kullandığını ayrıntılı olarak açıkladı.
Unit 42 (w1.ps1) tarafından keşfedilen PowerShell komut dosyası, sisteme takılı sürücüleri belirleyerek ve ardından HTTP üzerinden veri sızdırmayı kolaylaştırmak için kök dizinlerin her birini tekrar tekrar arayarak çalışır.
Araç ayrıca sistem dosyalarını, yedeklemeleri ve web tarayıcılarına işaret eden klasörleri ve ayrıca Symantec, ESET ve Sophos’tan güvenlik çözümlerini filtrelemek için hariç tutma kriterlerini kullanır. Siber güvenlik firması, aracın genel tasarımının “profesyonel düzeyde bir kodlama” gösterdiğini söyledi.
Karanlık Web İstihbarat Toplama Sanatında Ustalaşın
Karanlık ağdan tehdit istihbaratı elde etme sanatını öğrenin – Uzmanlar tarafından yönetilen bu web seminerine katılın!
Veri hırsızlığı betiğinin keşfi, fidye yazılımı ortamında devam eden çifte gasp tehdidini gösteriyor. Ayrıca, kuruluşlara güçlü güvenlik korumalarına öncelik vermeleri ve gelişen tehditlere karşı tetikte olmaları için bir hatırlatma işlevi görür.
Chapman, “Vice Society’nin PowerShell veri hırsızlığı betiği, veri hırsızlığı için basit bir araçtır” dedi. “Komut dosyasının çok fazla sistem kaynağı tüketmemesini sağlamak için çoklu işleme ve sıraya alma kullanılır.”
“Ancak, betiğin dosya uzantılarına sahip 10 KB’nin üzerindeki dosyalara ve içerme listesine uyan dizinlere odaklanması, betiğin bu açıklamaya uymayan verileri dışarı sızdırmayacağı anlamına gelir.”