Küba fidye yazılımı operasyonunun bir üyesi, yeni bir RAT (uzaktan erişim truva atı) ve yeni bir yerel ayrıcalık yükseltme aracı dahil olmak üzere daha önce görülmemiş taktikler, teknikler ve prosedürler (TTP’ler) kullanıyor.
Tehdit aktörü, Palo Alto Networks Unit 42’deki araştırmacılar tarafından ‘Tropical Scorpius’ olarak adlandırıldı ve muhtemelen Küba fidye yazılımı operasyonunun bir üyesi.
Küba fidye yazılımı küçük bir yenileme geçirdi Q1 2022’de, daha incelikli seçeneklere sahip güncellenmiş bir şifreleyici kullanarak ve canlı kurban desteği için quTox ekleyerek.
Ancak Tropical Scorpius, Küba operasyonunu potansiyel olarak daha tehlikeli ve müdahaleci hale getirerek yeni taktiklere geçişi işaret ediyor.
Tropikal Scorpius TTP’leri
Tehdit aktörü Tropical Scorpius, 2019’da başlatılan operasyondan bu yana büyük ölçüde değişmeden kalan standart Küba fidye yazılımı yükünü kullanıyor.
Haziran 2022’den bu yana yeni tekniklerden biri, meşru ancak geçersiz kılınmış bir NVIDIA sertifikası LAPSUS tarafından çalındı ve sızdırıldı bir enfeksiyonun ilk aşamalarında bırakılan bir çekirdek sürücüsünü imzalamak için.
Sürücünün görevi, güvenlik ürünlerine ait süreçleri keşfetmek ve tehdit aktörlerinin güvenliği ihlal edilmiş ortamda tespit edilmekten kaçmasına yardımcı olmak için bunları sonlandırmaktır.
Ardından, Tropical Scorpius, Windows Ortak Günlük Dosyası Sistemi Sürücüsünde bir hata olarak düzeltilen bir kusur olan CVE-2022-24521 için bir istismar özelliğine sahip yerel bir ayrıcalık yükseltme aracı getiriyor. sıfır gün içinde Nisan 2022.
Ünite 42’ye görebilgisayar korsanları, güvenlik araştırmacısının ayrıntılı bir yazısından ilham almış gibi görünen bir istismar stratejisi uyguladılar. Sergey Kornienko.
Bir sonraki aşamada, Tropical Scorpius, yanal hareket gerçekleştirmek için ADFind ve Net Scan’i indirir. Bu aynı zamanda tehdit aktörünün önbelleğe alınmış Kerberos kimlik bilgilerini alabilen yeni bir araç dağıttığı zamandır.
Unit 42 araştırmacıları tarafından görülen bir başka yeni teknik, DA (etki alanı yöneticisi) ayrıcalıkları elde etmek için CVE-2020-1472’den yararlanan bir ZeroLogon hack aracı kullanmaktır.
Son olarak, Tropical Scorpius, Windows API işlevleri aracılığıyla gerçekleştirilen ICMP istekleri aracılığıyla C2 iletişimini işleyen, daha önce görülmemiş bir kötü amaçlı yazılım olan “ROMCOM RAT”ı dağıtır.
ROMCOM RAT, aşağıda listelenen on komutu destekler:
- Bağlı sürücü bilgilerini döndür
- Belirtilen bir dizin için dosya listelerini döndür
- %ProgramData% klasörü içinde svchelper.exe adı altında bir ters kabuk başlatın
- Dosyaları kopyalamak için IShellDispatch kullanarak verileri ZIP dosyası olarak C2’ye yükleyin
- Verileri indirin ve %ProgramData% klasöründeki work.txt dosyasına yazın
- Belirtilen bir dosyayı sil
- Belirtilen dizini sil
- PID Spoofing ile bir süreç oluşturma
- Yalnızca ServiceMain tarafından işlenir, C2 sunucusundan alınır ve işleme 120.000 ms uyku moduna geçmesi talimatını verir
- Çalışan süreçleri yineleyin ve süreç kimliklerini toplayın
Unit 42, Tropical Scorpius’un ROMCOM’un yeni bir sürümünü derlediğini ve 20 Haziran 2022’de aynı C2 adresini (sabit kodlanmış) gösteren VirusTotal’da test için yüklediğini fark etti.
İkinci sürüm, mevcut 10’un üzerine on yeni komut ekleyerek, uzaktan operasyonlarına daha gelişmiş yürütme, dosya yükleme ve işlem sonlandırma seçenekleri verdi.
Ayrıca, yeni sürüm, “Screenshooter” adlı bir masaüstü snapper gibi, C2’den ek yüklerin alınmasını destekler.
Küba gelişen
Tropical Scorpius’un ve onun yeni TTP’lerinin ortaya çıkması, Küba fidye yazılımının, kurban sayısı açısından en üretken RaaS olmasa bile, daha büyük bir tehdide dönüştüğünü gösteriyor.
Ancak Küba, düşük bir profil tutmayı ve daha hafif bir çifte gasp yaklaşımı izlemeyi seçti, bu nedenle gerçek kurban sayısı bilinmiyor.
Çete, Haziran 2022’den bu yana dört kurbanın çalınan dosyalarını Onion sitesindeki “ücretsiz” bölümünde yayınladı, ancak “ücretli” teklifleri yakın zamanda güncellenmedi.
Müzakere ve şantaj için gereken süreyi düşünürsek, yılın ikinci yarısında ‘Tropical Scorpius’ güncellemesinin sonuçlarını görebiliriz.