hadicanim
Aktif Üye
ABD yetkilileri CISA, FBI ve Çok Devlet Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC), fidye yazılım Gang Hayaletinin faaliyetlerinin bir analizini yayınladı. İçinde siber olayların sınavlarından elde edilen bulguları demetler.
Reklamcılık
Güvenlik bildiriminde yetkililer, hayaletin ceza makinelerinin 2021'in başlarında başladığını yazıyorlar. O zamandan beri, yazılımın veya ürün yazılımının eski sürümlerine dayanan erişilebilir hizmetlere saldırıyorlar. Çin'de de 70'den fazla ülkede tesislerden ödün verdiler. Orada yazarlar çete üyelerinin koltuğunu da buluyorlar. Saldırıları finansal zenginleştirme için kullanıldı.
Çeşitli alanlardan hayalet kurbanları
İlgili kurbanlar çeşitli alanlardan geldi: kritik altyapı (eleştiri), okullar ve üniversiteler, sağlık, hükümet ağları, dini kurumlar, teknoloji ve üretim şirketleri ve ayrıca çok sayıda küçük ve orta ölçekli şirket. Hayalet çete üyeleri son derece çeviktir. Yürütülebilir maaş yükünü değiştirir, şifrelenmiş dosyalar için dosya eklerini değiştirirsiniz, şantaj mesajlarını değiştirir ve çeşitli gaspçu e -posta adreslerini kullanırsınız. Zamanla bu, Ghost, Cring, Crypt3R, Phantom, Strike, Merhaba, Windrme, Hsharada ve Rapture gibi bir ve aynı grup için çeşitli farklı isimlere yol açtı.
Aynı zamanda, hayalet suçlular da biraz tembel. Görünüşe göre, zayıflıklar için istismarlar üzerinde çalışmıyorsunuz, ancak internetteki sunucularda çok eski yazılımı hedefleyen güvenlik boşlukları için halka açık istismar kodunu kullanın. Yazarlar, Fortinet Fortios'taki güvenlik boşluklarına (CVE-2018-13379), Adobe Coldfusion (CVE-2010-2861, CVE-2009-3960), Microsoft SharePoint (CVE-2019-0604, CVE -20219-0604) ve Microsoft Borsası'nda Saldırılar tarafından saldırılara sahiptir. CVE-2021-31207, zincir “Proxyshell” olarak da bilinir, yani bazen 15 yıldan fazla zayıflık.
Savunmasız sistemlere girdikten sonra hayalet web kabukları ve çapa kobalt grev biaconları yerleştirir. Bununla birlikte, suç çetesi kalıcılığa büyük önem vermez, ancak kurbanların ağlarında sadece birkaç gün geçirirler. Bununla birlikte, ara sıra, yeni yerel ve alan hesapları oluşturdu ve mevcut eklemelerin şifrelerini değiştirdi. Saldırganlar genellikle haklarını genişletmek için kobalt grev aracını kötüye kullanırlar. Ancak diğer açık kaynak araçlarını da kullandılar, örneğin ABD yetkilileri “Sharpzerologon”, “Sharpggppass”, “Badpotato” ve “Godpotato” olarak adlandırdılar.
Tüm -Purpose Silah Kobalt Grev
Ayrıca kobalt greviyle, failler devam eden süreçleri listeler ve bunları bitirmek için kullanılan antivirüs yazılımı arar. Çoğu zaman, hayalet üyeleri ağa bağlı cihazlarda Microsoft Defender'ı devre dışı bırakmak için komutlar kullandı. Çete üyeleri, artan erişim haklarıyla ağda açılmaya devam ediyor; WMIC (Windows Management Instrumentation komut satırı) kullanarak, PowerShell komutlarını kurban ağındaki diğer sistemlerde çalıştırabilirsiniz, örneğin daha fazla kobalt grev biaconları kurmak için.
Sonunda, saldırganlar fidye ödenmezse kısaltılmış verilerin satılacağını iddia ediyorlar. Bununla birlikte, hayalet çete üyeleri genellikle IP (fikri mülkiyet) veya kişisel olarak tanımlanabilir bilgiler (PII) olan önemli bilgiler veya dosyalar içeren verileri sık sık sunmazlar. FBI, verilerin indirilmesini sadece Cobalt-Strike-Team sunucusuyla sınırlandırmıştır. Faillerin hosting hizmetini mega.nz kullandığına dair birkaç rapor var. Tipik veri kapsamı “yüzlerce gigabayttan az” idi.
Kontrol (Komuta ve Kontrol, C2), özellikle Kobalt-Strike Beacons ve Cobalt-Strike ekip sunucuları ile Ghost'ta gerçekleşir. Çete nadiren C2 sunucuları için alan adlarını kaydetmeye zahmet eder, ancak doğrudan IP-Uris'e bağlanır. Bir posta servis sağlayıcısı olarak, genellikle Tutanota, Skiff, Protonmail, Onionmail ve Mailfence'a güvenirsiniz. Mağdur ağlarındaki verileri şifrelemek için Ghost, cring.exe, ghost.exe, elysiumo.exe ve lover.exe dosyalarını kullanır. Ayrıca, verileri kurtarmak için Windows olay protokollerini, Gölge kopyalarını ve Ses gölge kopya hizmetini devre dışı bırakırlar.
Analizlerinde ABD yetkilileri hala enfeksiyon göstergelerini listelemektedir (uzlaşma göstergeleri, IOCS). İlgilenen taraflar, bisiklet hayaletinin kurbanı olup olmadığını kontrol etmek için kullanabilirler.
(DMK)
Reklamcılık
Güvenlik bildiriminde yetkililer, hayaletin ceza makinelerinin 2021'in başlarında başladığını yazıyorlar. O zamandan beri, yazılımın veya ürün yazılımının eski sürümlerine dayanan erişilebilir hizmetlere saldırıyorlar. Çin'de de 70'den fazla ülkede tesislerden ödün verdiler. Orada yazarlar çete üyelerinin koltuğunu da buluyorlar. Saldırıları finansal zenginleştirme için kullanıldı.
Çeşitli alanlardan hayalet kurbanları
İlgili kurbanlar çeşitli alanlardan geldi: kritik altyapı (eleştiri), okullar ve üniversiteler, sağlık, hükümet ağları, dini kurumlar, teknoloji ve üretim şirketleri ve ayrıca çok sayıda küçük ve orta ölçekli şirket. Hayalet çete üyeleri son derece çeviktir. Yürütülebilir maaş yükünü değiştirir, şifrelenmiş dosyalar için dosya eklerini değiştirirsiniz, şantaj mesajlarını değiştirir ve çeşitli gaspçu e -posta adreslerini kullanırsınız. Zamanla bu, Ghost, Cring, Crypt3R, Phantom, Strike, Merhaba, Windrme, Hsharada ve Rapture gibi bir ve aynı grup için çeşitli farklı isimlere yol açtı.
Aynı zamanda, hayalet suçlular da biraz tembel. Görünüşe göre, zayıflıklar için istismarlar üzerinde çalışmıyorsunuz, ancak internetteki sunucularda çok eski yazılımı hedefleyen güvenlik boşlukları için halka açık istismar kodunu kullanın. Yazarlar, Fortinet Fortios'taki güvenlik boşluklarına (CVE-2018-13379), Adobe Coldfusion (CVE-2010-2861, CVE-2009-3960), Microsoft SharePoint (CVE-2019-0604, CVE -20219-0604) ve Microsoft Borsası'nda Saldırılar tarafından saldırılara sahiptir. CVE-2021-31207, zincir “Proxyshell” olarak da bilinir, yani bazen 15 yıldan fazla zayıflık.
Savunmasız sistemlere girdikten sonra hayalet web kabukları ve çapa kobalt grev biaconları yerleştirir. Bununla birlikte, suç çetesi kalıcılığa büyük önem vermez, ancak kurbanların ağlarında sadece birkaç gün geçirirler. Bununla birlikte, ara sıra, yeni yerel ve alan hesapları oluşturdu ve mevcut eklemelerin şifrelerini değiştirdi. Saldırganlar genellikle haklarını genişletmek için kobalt grev aracını kötüye kullanırlar. Ancak diğer açık kaynak araçlarını da kullandılar, örneğin ABD yetkilileri “Sharpzerologon”, “Sharpggppass”, “Badpotato” ve “Godpotato” olarak adlandırdılar.
Tüm -Purpose Silah Kobalt Grev
Ayrıca kobalt greviyle, failler devam eden süreçleri listeler ve bunları bitirmek için kullanılan antivirüs yazılımı arar. Çoğu zaman, hayalet üyeleri ağa bağlı cihazlarda Microsoft Defender'ı devre dışı bırakmak için komutlar kullandı. Çete üyeleri, artan erişim haklarıyla ağda açılmaya devam ediyor; WMIC (Windows Management Instrumentation komut satırı) kullanarak, PowerShell komutlarını kurban ağındaki diğer sistemlerde çalıştırabilirsiniz, örneğin daha fazla kobalt grev biaconları kurmak için.
Sonunda, saldırganlar fidye ödenmezse kısaltılmış verilerin satılacağını iddia ediyorlar. Bununla birlikte, hayalet çete üyeleri genellikle IP (fikri mülkiyet) veya kişisel olarak tanımlanabilir bilgiler (PII) olan önemli bilgiler veya dosyalar içeren verileri sık sık sunmazlar. FBI, verilerin indirilmesini sadece Cobalt-Strike-Team sunucusuyla sınırlandırmıştır. Faillerin hosting hizmetini mega.nz kullandığına dair birkaç rapor var. Tipik veri kapsamı “yüzlerce gigabayttan az” idi.
Kontrol (Komuta ve Kontrol, C2), özellikle Kobalt-Strike Beacons ve Cobalt-Strike ekip sunucuları ile Ghost'ta gerçekleşir. Çete nadiren C2 sunucuları için alan adlarını kaydetmeye zahmet eder, ancak doğrudan IP-Uris'e bağlanır. Bir posta servis sağlayıcısı olarak, genellikle Tutanota, Skiff, Protonmail, Onionmail ve Mailfence'a güvenirsiniz. Mağdur ağlarındaki verileri şifrelemek için Ghost, cring.exe, ghost.exe, elysiumo.exe ve lover.exe dosyalarını kullanır. Ayrıca, verileri kurtarmak için Windows olay protokollerini, Gölge kopyalarını ve Ses gölge kopya hizmetini devre dışı bırakırlar.
Analizlerinde ABD yetkilileri hala enfeksiyon göstergelerini listelemektedir (uzlaşma göstergeleri, IOCS). İlgilenen taraflar, bisiklet hayaletinin kurbanı olup olmadığını kontrol etmek için kullanabilirler.
(DMK)