Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

FIN7 bilgisayar korsanları araç setini geliştiriyor, birden fazla fidye yazılımı çetesiyle çalışıyor


FIN7 bilgisayar korsanları araç setini geliştiriyor, birden fazla fidye yazılımı çetesiyle çalışıyor

Tehdit analistleri, 2021’in sonundan 2022’nin başlarına kadar FIN7 operasyonları hakkında ayrıntılı bir teknik rapor derleyerek, düşmanın çok aktif olmaya, gelişmeye ve yeni para kazanma yöntemleri denemeye devam ettiğini gösteriyor.

FIN7 (aka Carbanak), becerikli ve çeşitli taktikleri, özel yapım kötü amaçlı yazılımları ve gizli arka kapıları ile tanınan, Rusça konuşan, finansal olarak motive olmuş bir aktördür.

Grubun bazı üyeleri 2018’de suçlansa da, ardından hüküm 2021’de yöneticilerinden biri olan FIN7 ortadan kaybolmadı ve gizli saldırılar için yeni araçlar geliştirmeye devam etti.

Mandiant’ta, grubun operasyonlarını gözlemlemeye ve takip etmeye devam eden araştırmacılar tarafından, yeni kötü amaçlı yazılım örneklerinin analizine dayanan zengin ve yeni bir FIN7 uzlaşma göstergesi seti yayınlandı.

Bir dizi siber saldırıdan toplanan kanıtlar, analistlerin önceden şüphelenilen sekiz UNC grubunu, belirli bir grup için geniş operasyon kapsamını gösteren FIN7’de birleştirmesine yol açtı.

Araç setinin gelişimi

PowerPlant olarak bilinen ve yıllardır FIN7 ile ilişkilendirilen PowerShell arka kapısı, Mandiant 0,012 ile 0,028 arasında değişen sürüm numaralarını tanımladığı için hala yeni varyantlar halinde geliştirilmektedir.

Bazı izinsiz girişlerde, FIN7’nin işlevselliği değiştirdiği ve PowerPlant’a yeni özellikler eklediği ve yeni sürümü operasyonun ortasında dağıttığı gözlemlendi.

Gerçek saldırılardan örneklenen PowerPlant sürümleri
Gerçek saldırılardan örneklenen PowerPlant sürümleri
(Mandiant)

Mandiant’a göre PowerPlant, 2022 operasyonlarında Loadout ve Griffon’un yerini alırken, Carbanak ve Diceloader kötü amaçlı yazılımları da arka planda kaldı.

Dağıtım sırasında PowerPlant, C2 sunucusundan farklı modüller getirir, bu nedenle ortaya çıkan yetenekler kümesi değişir. En yaygın olarak dağıtılan iki modül, Easylook ve Boatlaunch olarak adlandırılır.

Easyloook, FIN7’nin donanım, kullanıcı adları, kayıt anahtarları, işletim sistemi sürümleri, etki alanı verileri vb. gibi ağ ve sistem bilgileri ayrıntılarını yakalamak için en az iki yıldır kullandığı bir keşif aracıdır.

Easylook keşif kodu parçacığı
Easylook keşif kodu parçacığı (Mandiant)

Boatlaunch, bir AMSI baypası ile sonuçlanan 5 baytlık bir talimat dizisiyle, güvenliği ihlal edilmiş sistemlerde PowerShell işlemlerini yayan bir yardımcı modüldür.

AMSI (kötü amaçlı yazılımdan koruma tarama arabirimi), kötü amaçlı PowerShell yürütmesini algılamaya yardımcı olan yerleşik bir Microsoft aracıdır, dolayısıyla Boatlaunch bunu önlemeye yardımcı olmak için oradadır. Mandiant, hem 32 bit hem de 64 bit modül sürümlerini tespit etti.

Bir diğer yeni gelişme, Crowview ve Fowlgaze adlı iki çeşidi bulunan Birdwatch indiricisinin evrimidir.

Her iki varyant da .NET tabanlıdır, ancak Birdwatch’ın aksine, kendi kendini silme özelliklerine sahiptirler, gömülü yüklerle birlikte gelirler ve ek argümanları desteklerler.

Birdwatch gibi, bu yeni varyantlar HTTP üzerinden yüklerin alınmasını destekler ve FIN7’ye sistemde hangi işlemlerin çalıştığını, ağ yapılandırmasının ne olduğunu ve hangi web tarayıcısının kullanıldığını söyleyen temel keşif operasyonları sunmaya devam eder.

Fidye yazılımlarında yeni girişimler

Mandiant’ın raporunda sunulan ilginç bir bulgu, FIN7’nin çeşitli fidye yazılımı çeteleriyle ilişkisidir.

Daha spesifik olarak analistler, Maze, Ryuk, Darkside ve BlackCat/ALPHV gibi fidye yazılımlarıyla ilgili olaylardan hemen önce tespit edilen FIN7 izinsiz girişlerinin kanıtlarını buldular.

“İzinsiz giriş verilerinden elde edilen kanıtlara ek olarak, ikincil eserler FIN7’nin en azından bazı DARKSIDE operasyonlarında rol oynadığını gösteriyor.” diyor Mandiant

“FIN7 tarafından 2021’de BEACON ve BEAKDROP örneklerini imzalamak için kullanılan düşük küresel yaygınlık kodu imzalama sertifikası, vahşi doğada kurtarılan birden fazla ilişkilendirilmemiş DARKSIDE örneğini imzalamak için de kullanıldı.”

Ortak kod imzalama sertifikası
Ortak kod imzalama sertifikası (Mandiant)

Geçen Ekim ayında, Bleeping Computer, FIN7’nin, grup kurulum için maruz kaldığında fidye yazılımı operasyonlarına artan ilgisini bildirdi. sahte bir pentesting firması ağ saldırı uzmanlarını işe almak.

FIN7’nin fidye yazılımı çetelerine ilk ağ erişimi sunup sunmadığı veya bağlı kuruluşlar olarak çalışıp çalışmadığı ve yukarıda belirtilen türleri kullanıp kullanmadığı belirsizdir. Yine de, düşmanın fidye yazılımı operasyonlarına açık bir şekilde dahil olduğu görülüyor.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.