Siber güvenlik araştırmacıları, tehlikeye atılmış uç noktalara kalıcı erişimi sürdürmek için Python tabanlı bir arka kapı kullanan bir tehdit aktörünün yer aldığı bir saldırının ayrıntılarını açıkladı ve ardından bu erişimden RansomHub fidye yazılımını hedef ağ boyunca dağıtmak için yararlandı.
Buna göre GuidePoint Güvenliğiilk erişimin SocGholish (diğer adıyla FakeUpdates) adlı indirilen bir JavaScript kötü amaçlı yazılımı aracılığıyla kolaylaştırıldığı söyleniyor. dağıtılmış şüphelenmeyen kullanıcıları sahte web tarayıcısı güncellemelerini indirmeleri için kandıran arabadan kaçırma kampanyaları yoluyla.
Bu tür saldırılar genellikle içermek Kurbanların siyah şapkalı Arama Motoru Optimizasyonu (SEO) teknikleri kullanılarak arama motoru sonuçlarından yönlendirildiği meşru ancak virüslü web sitelerinin kullanılması. Yürütmenin ardından SocGholish, ikincil verileri almak için saldırgan tarafından kontrol edilen bir sunucuyla bağlantı kurar.
Geçen yıl kadar yakın bir zamanda, SocGholish kampanyaları hedeflenmiş Yoast gibi popüler SEO eklentilerinin eski sürümlerine dayanan WordPress siteleri (CVE-2024-4984CVSS puanı: 6.4) ve Rank Math PRO (CVE-2024-3665CVSS puanı: 6,4) ilk erişim için.
GuidePoint Security tarafından araştırılan olayda, Python arka kapısının SocGholish aracılığıyla ilk enfeksiyondan yaklaşık 20 dakika sonra bırakıldığı tespit edildi. Tehdit aktörü daha sonra RDP oturumları aracılığıyla yanal hareket sırasında arka kapıyı aynı ağda bulunan diğer makinelere dağıtmaya devam etti.
“İşlevsel olarak komut dosyası, sabit kodlanmış bir IP adresine bağlanan bir ters proxy’dir. Komut dosyası, ilk komut ve kontrol (C2) anlaşmasını geçtikten sonra, ağırlıklı olarak SOCKS5 protokolünü temel alan bir tünel kurar.” güvenlik araştırmacısı Andrew Nelson şunları söyledi.
“Bu tünel, tehdit aktörünün kurbanın sistemini proxy olarak kullanarak ele geçirilen ağda yanal olarak hareket etmesine olanak tanıyor.”
Daha önceki bir sürümü olan Python betiği belgelenmiş Şubat 2024’te ReliaQuest tarafından, Aralık 2023’ün başından bu yana vahşi doğada tespit edildi ve tespitten kaçınmak için kullanılan gizleme yöntemlerini geliştirmeyi amaçlayan “yüzey düzeyinde değişiklikler” yapılıyor.
GuidePoint ayrıca kodu çözülen komut dosyasının hem gösterişli hem de iyi yazılmış olduğunu belirtti; bu da kötü amaçlı yazılım yazarının ya yüksek düzeyde okunabilir ve test edilebilir bir Python kodu sağlama konusunda titiz olduğunu ya da kodlama görevine yardımcı olmak için yapay zeka (AI) araçlarına güvendiğini gösteriyor.
Nelson, “Yerel değişken gizleme haricinde, kod, oldukça açıklayıcı yöntem adları ve değişkenleri ile farklı sınıflara bölünmüş durumda” diye ekledi. “Her yöntem aynı zamanda yüksek düzeyde hata işleme ve ayrıntılı hata ayıklama iletilerine sahiptir.”
Python tabanlı arka kapı, fidye yazılımı saldırılarında tespit edilen tek öncül olmaktan uzaktır. Halcyon’un bu ayın başlarında vurguladığı gibi diğer araçlardan bazıları konuşlandırılmış Fidye yazılımı dağıtımından önce aşağıdakilerden sorumlu olanları dahil edin:
- EDRSilencer ve Backstab kullanarak Uç Nokta Algılama ve Yanıt (EDR) çözümlerini devre dışı bırakma
- LaZagne kullanarak kimlik bilgilerini çalmak
- MailBruter’ı kullanarak kimlik bilgilerini kaba zorlama yoluyla e-posta hesaplarının tehlikeye atılması
- Gizli erişimi sürdürmek ve Sirefef’i kullanarak ek yükler sağlamak ve Mediyeler
Müşteri Tarafından Sağlanan Anahtarlarla Amazon Web Services’in Sunucu Tarafı Şifrelemesinden yararlanılarak Amazon S3 klasörlerini hedef alan fidye yazılımı kampanyaları da gözlemlenmiştir (SSE-C) kurban verilerini şifrelemek için. Faaliyet Codefinger adlı bir tehdit aktörüne atfedildi.
Saldırılar, oluşturulan anahtar olmadan kurtarmayı önlemenin yanı sıra, mağdurlara ödeme yapmaları için baskı yapmak amacıyla dosyaların S3 Nesne Yaşam Döngüsü Yönetimi API’si aracılığıyla yedi gün içinde silinmek üzere işaretlendiği acil fidye taktiklerini kullanıyor.
Halcyon, “Tehdit aktörü Codefinger, S3 nesnelerini yazma ve okuma izinleriyle birlikte kamuya açıklanmış AWS anahtarlarını kötüye kullanıyor.” söz konusu. “AWS yerel hizmetlerini kullanarak, hem güvenli hem de işbirliği olmadan kurtarılamaz bir şekilde şifreleme elde ediyorlar.”
Gelişme, SlashNext’in, Black Basta fidye yazılımı ekibinin kurbanların gelen kutularını haber bültenleri veya ödeme bildirimleriyle ilgili 1.100’den fazla meşru mesajla doldurmak için kullandığı e-posta bombalama tekniğini taklit eden “hızlı saldırı” kimlik avı kampanyalarında bir artışa tanık olduğunu söylemesinin ardından geldi.
Şirket, “Daha sonra, insanlar bunaldıklarını hissettiklerinde, saldırganlar telefon çağrıları veya Microsoft Teams mesajları aracılığıyla saldırıyor ve basit bir düzeltmeyle şirketin teknik desteği gibi görünüyorlar.” söz konusu.
“Güven kazanmak için güvenle konuşuyorlar ve kullanıcıları TeamViewer veya AnyDesk gibi uzaktan erişim yazılımlarını yüklemeye yönlendiriyorlar. Bu yazılım bir cihaza yüklendikten sonra saldırganlar sessizce içeri sızıyor. Buradan zararlı programlar yayabilir veya cihazın diğer alanlarına gizlice girebilirler. ağ, doğrudan hassas verilere giden yolu temizliyor.”
