Fidye Yazılımı Saldırganları, Fidye Notlarını Kurbanın Yazıcısına Gönderdi

Siber casusluk kampanyaları ve fidye yazılımı saldırıları yürüten bir bilgisayar korsanlığı grubu, Avrupa ve Amerika Birleşik Devletleri’ndeki kuruluşları hedef alıyor. Secureworks’te çalışan siber güvenlik araştırmacıları 2022’nin başlarında, diğer araştırma grupları tarafından  APT35, Charming Kitten, Phosphorus ve TA453 olarak da bilinen, Kobalt Mirage olarak adlandırılan İranlı bir bilgisayar korsanlığı grubuna yönelik  fidye yazılımı ve veri hırsızlığını içeren bir dizi siber saldırıyı ayrıntılı olarak listeledi.

Saldırılar arasında, Mart 2022’de bir ABD yerel yönetim ağını hedef alan ve Secureworks araştırmacılarının, grup tarafından daha önce ortaya çıkarılan saldırıların ayırt edici özelliklerinden dolayı Cobalt Mirage’a atfedilen çok enteresan bir olay var.

Bunlar, Hızlı Ters Proxy istemcisi (FRPC) dağıtmak ve savunmasız sistemlere uzaktan erişim sağlamak için ProxyShell güvenlik açıklarından yararlanmanın yanı sıra tehdit grubuyla ilişkili kalıplarla eşleşen altyapının kullanımını içeriyor.

Bu saldırıdaki ilk uzlaşma yolları hala belirsiz olsa da araştırmacılar saldırganların yama uygulanmamış Log4j güvenlik açıklarından nasıl yararlandığını açıkladılar. İlk istismarın Ocak-2022 gibi erken bir tarihte gerçekleşmiş olabileceğine dair kanıtlar var…

İzinsiz giriş etkinliğinin çoğu, ağın taranması ve verilerin çalınmasına dayanan etkinliğin temel amacı ile Mart ayında dört günlük bir süreyi kapsıyordu. Araştırmacılar, bu taktiğin tuhaf olduğunu, dönem içinde tespit edilen diğer saldırılar gibi, hedeflerin stratejik veya siyasi bir değeri olmadığını belirtiyorlar.

Mart 2022’de izinsiz giriş tespit edilip kesintiye uğratıldıktan sonra başka kötü niyetli faaliyet gözlenmedi.

Temel motivasyon şaşırtmadı

Araştırmacılar, bu saldırının ve diğerlerinin arkasındaki ana motivasyonun finansal kazanç olduğunu öne sürüyor; ancak saldırganların bundan tam olarak nasıl kâr elde edecekleri belirsizliğini koruyor.

Secureworks Karşı Tehdit Birimi (CTU) araştırmacıları bir blog yazısında; “Tehdit aktörleri, çok çeşitli hedeflere ilk erişim sağlama konusunda makul bir başarı düzeyine sahip gibi görünse de bu erişimden finansal kazanç veya istihbarat toplama için yararlanma yetenekleri sınırlı görünüyor.” İfadeleri not düşülmüş.

Adı açıklanmayan ABD yerel hükümetine yönelik siber saldırıda hiçbir fidye yazılımı kullanılmadı; ancak araştırmacılar Cobalt Mirage’ın fidye yazılımı saldırılarına karıştığını belirtiyor (Ocak ayında keşfedilen başka bir kurbanın ‘ABD hayırsever örgütü’ olarak tanımlanması gibi).

Olayı araştıran Secureworks araştırmacılarına göre, saldırganlar sonunda bir BitLocker fidye yazılımı saldırısını tetiklemeden önce ağda dolaşmak ve hesaplara uzaktan erişim sağlamak için ProxyShell ve Microsoft Exchange güvenlik açıklarını kullandılar.

Fidye notunu yazıcıya gönderdiler…

Alışılmadık bir şekilde, fidye notu ağdaki bir yazıcıya gönderildi; bir e-posta adresini ve iletişim bilgilerini ayrıntılı olarak kâğıda yazdırdı. Cobalt Mirage’ın devlet destekli bilgisayar korsanlığı operasyonlarıyla bağlantıları olsa da bu durumda fidye yazılımı tamamen finansal amaçlı bir saldırı olarak dağıtılıyor. Fidye yazılımı fidye notları genellikle ekranlarda veya sunucularda bırakılır.

“Tehdit aktörleri, yerel bir yazıcıya fidye notu göndermek gibi alışılmadık bir taktikle saldırıyı tamamladı. Notta, şifre çözme ve kurtarmayı tartışmak için bir iletişim e-posta adresi ve Telegram hesabı yer alıyor. Bu yaklaşım, haritalanacak manuel işlemlere dayanan küçük bir işlemi öneriyor. Güvenlik araştırmacıları, verilerini kilitlemek için kullanılan şifreleme anahtarlarının kurbanlarıdır.”

Araştırmacılar tarafından detaylandırılan her iki olayda da saldırganlar, yama uygulanmamış kritik siber güvenlik açıklarından yararlanarak ağlara erişim elde edebildi. Ağları siber saldırılara karşı korumak için, olası izinsiz girişlerin bilinen güvenlik açıklarından yararlanmasını önlemek için güvenlik yamalarının mümkün olduğunca çabuk uygulanması öneriliyor.

Araştırmacılar ayrıca, çok faktörlü kimlik doğrulamanın uygulanmasını ve saldırganların ağda olduğunu gösterebilecek, araçların ve dosya paylaşım hizmetlerinin yetkisiz veya şüpheli kullanımının izlenmesini tavsiye ediyor.