Storm-0249 olarak izlenen bir ilk erişim aracısı, kötü amaçlı yazılım yüklemek, iletişim kurmak ve fidye yazılımı saldırılarına hazırlıkta kalıcılık sağlamak için uç nokta algılama ve yanıt çözümlerini ve güvenilir Microsoft Windows yardımcı programlarını kötüye kullanıyor.
Tehdit aktörü, kitlesel kimlik avının ötesine geçti ve iyi belgelenmiş olsa bile savunmacıların etkili ve karşı koyması zor olduğu kanıtlanan daha gizli, daha gelişmiş yöntemleri benimsedi.
Siber güvenlik şirketi ReliaQuest'teki araştırmacılar tarafından analiz edilen bir saldırıda Storm-0249, kötü amaçlı etkinlikleri gizlemek için SentinelOne EDR bileşenlerinden yararlandı. Ancak araştırmacılar aynı yöntemin diğer EDR ürünlerinde de işe yaradığını söylüyor.
ReliaQuest, Storm-0249 saldırısının, kullanıcıları SYSTEM ayrıcalıklarına sahip kötü amaçlı bir MSI paketini indirmek için Windows Çalıştır iletişim kutusuna curl komutlarını yapıştırmaya ve yürütmeye kandıran ClickFix sosyal mühendisliğiyle başladığını söylüyor.
Kötü amaçlı bir PowerShell komut dosyası, sahte bir Microsoft alanından da alınır ve doğrudan sistemin belleğine aktarılır, hiçbir zaman diske dokunmaz ve böylece antivirüs tespitinden kaçar.
MSI dosyası kötü amaçlı bir DLL (SentinelAgentCore.dll) bırakıyor. Araştırmacılara göre "bu DLL, kurbanın SentinelOne EDR'sinin bir parçası olarak zaten yüklenmiş olan önceden var olan meşru SentinelAgentWorker.exe dosyasının yanına stratejik olarak yerleştirildi."
Daha sonra saldırgan, imzalı SentinelAgentWorker'ı (DLL yandan yükleme) kullanarak DLL'yi yükler, dosyayı güvenilir, ayrıcalıklı EDR işlemi içinde yürütür ve işletim sistemi güncellemelerinden sağ kurtulan gizli kalıcılık elde eder.
ReliaQuest, "Meşru süreç, saldırganın kodunu çalıştırarak, güvenlik araçlarında rutin SentinelOne etkinliği olarak görünerek ve algılamayı atlayarak tüm işi yapıyor" diye açıklıyor.
Saldırgan erişim elde ettiğinde, reg.exe ve findstr.exe gibi meşru Windows yardımcı programları aracılığıyla sistem tanımlayıcılarını toplamak ve şifrelenmiş HTTPS komut ve kontrol (C2) trafiğini yönlendirmek için SentinelOne bileşenini kullanır.
Kayıt defteri sorguları ve dize aramaları normalde alarmlara neden olur ancak güvenilir bir EDR süreci içinden yürütüldüğünde bunlar rutin olarak değerlendirilir ve güvenlik mekanizmaları tarafından göz ardı edilir.
ReliaQuest, ele geçirilen sistemlerin profilinin, LockBit ve ALPHV gibi fidye yazılımı gruplarının şifreleme anahtarlarını belirli kurbanlara bağlamak için kullandığı donanım tabanlı benzersiz bir tanımlayıcı olan 'MachineGuid' kullanılarak oluşturulduğunu açıklıyor.
Bu, Storm-0249'un, tipik müşterilerinin, yani fidye yazılımı bağlı kuruluşlarının ihtiyaçlarına göre uyarlanmış ilk erişim uzlaşmalarını gerçekleştirdiğini gösteriyor.
Güvenilir, imzalı EDR süreçlerinin kötüye kullanılması neredeyse tüm geleneksel izlemeyi atlar. Araştırmacılar, sistem yöneticilerinin, imzasız DLL'leri standart olmayan yollardan yükleyen güvenilir işlemleri tanımlayan davranış tabanlı algılamaya güvenmelerini önermektedir.
Ayrıca curl, PowerShell ve LoLBin yürütmesi için daha sıkı kontroller ayarlamak yararlı olacaktır.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Fidye yazılımı çeteleri EDR katillerini gizlemek için Shanya EXE paketleyicisine başvuruyor
Yanluowang ilk erişim komisyoncusu fidye yazılımı saldırılarına ilişkin suçunu kabul etti
Yeni EDR-Freeze aracı, güvenlik yazılımını askıya almak için Windows WER kullanıyor
FinCEN, fidye yazılımı çetelerinin 2022'den 2024'e kadar 2,1 milyar dolardan fazla gasp ettiğini söylüyor
İlaç firması Inotiv, fidye yazılımı saldırısından sonra veri ihlalini açıkladı
Kaynak: Bleeping Computer