FBI ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), tehdit aktörlerinin Phobos fidye yazılımı türünü hedef ağlara dağıtmak için kullandıkları taktik ve tekniklere ilişkin ayrıntıları yayınladı.
danışma Çok Durumlu Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ile işbirliği içinde çalışan iki kuruluşun fidye yazılımlarını durdurma çabasının bir parçası. Bu, özellikle zararlı fidye yazılımı tehditlerine ilişkin son aylarda yayınladıkları çeşitli uyarılara benziyor.
Önceki tavsiyelerde olduğu gibi, son tavsiyede de güvenlik ve BT yöneticilerinin olası Phobos enfeksiyonlarını hızlı bir şekilde tespit etmek ve bunlara yanıt vermek için kullanabileceği güvenlik ihlali göstergeleri yer alıyor.
Nispeten Üretken Bir Tehdit
Phobos fidye yazılımı ilk olarak 2019’da ortaya çıktı. O zamandan bu yana, yazarları kötü amaçlı yazılımı dağıtmak için hizmet olarak fidye yazılımı modelini kullanıyor ve bu, Phobos’un son yıllarda en yaygın şekilde dağıtılan fidye yazılımı türlerinden biri olmasına yardımcı oldu. 8Base adlı bir Phobos çeşidi, Black Fog’un listesinde yer aldı. 2023’ün en aktif 10 fidye yazılımı tehdidi. Yıllar boyunca Phobos kurbanları arasında eyalet, ilçe ve belediye yönetimlerinin yanı sıra sağlık, eğitim ve kritik altyapı sektörlerindeki kuruluşlar da yer alıyor.
Yakın zamanda meydana gelen bir olayda, Phobos’a bağlı bir tehdit aktörü Romanya’daki yaklaşık 100 hastanede enfeksiyonlu sistemler Backmydata adı verilen Phobos varyantı ile öncelikle bağlı oldukları merkezi sağlık bilgi sistemini hedef alıyorlar.
FBI-CISA tavsiyesi, Phobos tehdit aktörlerinin kurban ağlarına ilk erişim sağlamak için farklı taktikler kullandığını tespit etti. Yaygın bir taktik, kurban ağlarındaki yükü fırsatçı bir şekilde düşürmek için kimlik avı e-postalarını kullanmaktı. Bir diğeri, SmokeLoader olarak bilinen bir damlalığı e-posta eklerine yerleştirmek ve bunu, eki açan kurbanlara ait sistemlere Phobos’u indirmek için kullanmaktı.
Buna ek olarak araştırmacılar, Phobos aktörlerinin açıkta kalan RDP bağlantı noktalarını bulmak için İnternet’i taradığını ve daha sonra bu bağlantı noktalarına erişim sağlamak için açık kaynaklı kaba kuvvet şifre tahmin araçlarını kullandıklarını da gözlemlediler. Danışman, “Phobos aktörleri hedeflenen ortamda başarılı bir RDP kimlik doğrulaması elde ederse, bir kurban profili oluşturmak ve hedeflenen IP adreslerini ilişkili şirketlere bağlamak için açık kaynak araştırması gerçekleştirirler” dedi. “Phobos’tan yararlanan tehdit aktörleri, ele geçirilen ağ içerisinde uzaktan bağlantı kurmak için özellikle uzaktan erişim araçlarını kullandı.”
Ayrıcalık Artışı ve Kalıcılık
Phobos tehdit aktörleri, bir ağa bağlandıklarında ayrıcalıkları yükseltmek ve sistemlerin kontrolünü ele geçirmek de dahil olmak üzere çeşitli Windows kabuk işlevlerini gerçekleştirmek için sıklıkla 1saas.exe veya cmd.exe gibi yürütülebilir dosyaları çalıştırıyor. Ayrıca, danışma belgesine göre erişim kontrolünü atlamak, kimlik doğrulama belirteçlerini çalmak ve ayrıcalıkları yükseltmek için yeni süreçler oluşturmak için yerleşik Windows API işlevlerinden yararlandılar. Uyarı belgesinde, “Phobos aktörleri, etki alanı yöneticisi erişimine ulaşana kadar kurban makinelerde önbelleğe alınmış parola karmalarını kullanarak kimlik doğrulaması yapmaya çalışıyor.” ifadesine yer verildi.
Fidye yazılımının kalıcılık mekanizmaları, yedeklemelere erişim sağlayan veya sistem kurtarmaya yardımcı olan işlevleri kaldırmak veya devre dışı bırakmak için Windows Başlangıç klasörlerini kullanmayı ve Windows kayıt defteri anahtarlarını kullanmayı içerir.
Phobos aktörleri, bir ağdaki sistemleri şifrelemeden önce genellikle verileri sızdırıyor ve ardından bu verileri sızdırma tehdidini kurbanlardan ödeme almak için ek bir koz olarak kullanıyordu. Danışmanlık, çoğu durumda tehdit aktörlerinin finansal kayıtları, yasal belgeleri, teknik ve ağla ilgili bilgileri ve şifre yönetimi yazılımı veritabanlarını hedef aldığını belirtti. Veri hırsızlığı aşamasından sonra aktörler, kurbanların şifre çözme anahtarı için ödeme yapmadan kurtaramamalarını sağlamak için mevcut olabilecek tüm veri yedeklerini arar ve siler.