Rusça konuşan hackleme grubu Redcurl ilk kez bir fidye yazılımı kampanyasına bağlanmış ve tehdit oyuncusunun Tradecraft’ında bir kalkış işaret eder.
Etkinlik, gözlemlenen Romanya siber güvenlik şirketi Bitdefender tarafından, Qwcrypt olarak adlandırılan daha önce hiç görülmemiş bir fidye yazılımı suşunun konuşlandırılmasını içerir.
Earth Kapre ve Red Wolf olarak da adlandırılan Redcurl, Kanada, Almanya, Norveç, Rusya, Slovenya, Ukrayna, Birleşik Krallık ve Amerika Birleşik Devletleri’nde çeşitli kuruluşlara yönelik kurumsal casusluk saldırılarını düzenleme geçmişine sahiptir. En azından Kasım 2018’den beri aktif olduğu biliniyor.
Saldırı Zincirleri belgelenmiş 2020 yılında Grup-Ib tarafından, kötü amaçlı yazılım dağıtım sürecini etkinleştirmek için İnsan Kaynakları (İK) temalı yemleri taşıyan mızrak-akma e-postalarının kullanılmasını gerektirdi. Bu Ocak ayında avcı ayrıntılı Tehdit oyuncusu tarafından Kanada’daki çeşitli kuruluşları hedefleyen saldırılar, “basit arka kapı yetenekleri” ile Redloader olarak adlandırılan bir yükleyiciyi dağıtmak için.
Sonra geçen ay, Kanada Siber Güvenlik Şirketi Esentire açıklığa kavuşmuş Redcurl’un CVS gibi maskelenen spam pdf eklerini kullanması, meşru adobe yürütülebilir “adnotificationManager.exe.
Bitdefender tarafından detaylandırılan saldırı dizisi, çok aşamalı bir enfeksiyon prosedürünü başlatmak için CVS olarak gizlenmiş monte edilebilir disk görüntüsü (ISO) dosyalarını kullanarak aynı adımları izler. Disk içinde mevcut olan bir Windows ekran koruyucu (SCR) taklit eden bir dosya bulunur, ancak gerçekte, DLL yan yükleme kullanarak yükleyiciyi (“netutils.dll”) yürütmek için kullanılan adnotificationManager.exe ikilidir.
BitdeFender teknik çözümleri direktörü Martin Zugec, “İnfazdan sonra, netutils.dll hemen açık fiil ile bir Shellexecutea çağrısı başlattı ve kurbanın tarayıcısını https://secure.indeed.com/auth’a yönlendirdi.”
Diyerek şöyle devam etti: “Bu, mağduru sadece bir CV açtıklarını düşünmek için yanıltması için tasarlanmış hesaplanmış bir dikkat dağınıklığı olan meşru bir gerçekten oturum açma sayfası görüntüler. Bu sosyal mühendislik taktiği kötü amaçlı yazılımın tespit edilmemiş bir pencere sağladığı bir pencere sağlar.”
 |
| Görüntü Kaynağı: Esentire |
Yükleyici, bitdefender başına, aynı zamanda bir sonraki aşamalı arka kapı DLL için bir indirici görevi görürken, aynı zamanda planlanmış bir görev vasıtasıyla ev sahibinde kalıcılık oluşturur. Yeni alınan DLL daha sonra Mart 2024’te Trend Micro tarafından detaylandırılan bir teknik olan Program Uyumluluk Asistanı (PCALUA.EXE) kullanılarak yürütülür.
İmplant tarafından sağlanan erişim, tehdit oyuncusunun ağda gezinmesine, zeka toplamasına ve erişimlerini daha da artırmasına izin vererek yanal hareketin yolunu açar. Ancak, yerleşik modus operandilerinden büyük bir pivot gibi görünen bir saldırıda, böyle bir saldırı da fidye yazılımının ilk kez konuşlandırılmasına yol açtı.
Zugec, “Bu odaklanmış hedefleme, minimum çaba ile maksimum hasar verme girişimi olarak yorumlanabilir.” Dedi. Diyerek şöyle devam etti: “Redcurl, hipervizörlerde barındırılan sanal makineleri şifreleyerek, tüm sanallaştırılmış altyapıyı etkili bir şekilde devre dışı bırakarak, barındırılan tüm hizmetleri etkiliyor.”
Fidye yazılımı yürütülebilir, uç nokta güvenlik yazılımını devre dışı bırakmak için kendi savunmasız sürücü (BYOVD) tekniğinizi getirmenin yanı sıra, şifreleme rutini başlatmadan önce sistem bilgilerini toplamak için adımlar atar. Dahası, şifrelemeyi takiben düşen fidye notu, Lockbit, Hardbit ve mimik gruplardan ilham alıyor gibi görünüyor.
Zugec, “Mevcut fidye not metnini yeniden düzenleme uygulaması, Redcurl grubunun kökenleri ve motivasyonları hakkında sorular ortaya koyuyor.” Dedi. “Özellikle, bu fidye yazılımı ile ilişkili bilinen bir özel sızıntı alanı (DLS) yoktur ve fidye notunun gerçek bir gasp girişimini mi yoksa saptırmayı mı temsil edeceği belirsizliğini korumaktadır.”
