Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Hacker, Küba Fidye Yazılımı saldırılarında yeni RAT kötü amaçlı yazılımı kullanıyor


Küba fidye yazılımı

Küba fidye yazılımı operasyonunun bir üyesi, yeni bir RAT (uzaktan erişim truva atı) ve yeni bir yerel ayrıcalık yükseltme aracı dahil olmak üzere daha önce görülmemiş taktikler, teknikler ve prosedürler (TTP’ler) kullanıyor.

Tehdit aktörü, Palo Alto Networks Unit 42’deki araştırmacılar tarafından ‘Tropical Scorpius’ olarak adlandırıldı ve muhtemelen Küba fidye yazılımı operasyonunun bir üyesi.

Küba fidye yazılımı küçük bir yenileme geçirdi Q1 2022’de, daha incelikli seçeneklere sahip güncellenmiş bir şifreleyici kullanarak ve canlı kurban desteği için quTox ekleyerek.

Ancak Tropical Scorpius, Küba operasyonunu potansiyel olarak daha tehlikeli ve müdahaleci hale getirerek yeni taktiklere geçişi işaret ediyor.

Tropikal Scorpius TTP’leri

Tehdit aktörü Tropical Scorpius, 2019’da başlatılan operasyondan bu yana büyük ölçüde değişmeden kalan standart Küba fidye yazılımı yükünü kullanıyor.

Haziran 2022’den bu yana yeni tekniklerden biri, meşru ancak geçersiz kılınmış bir NVIDIA sertifikası LAPSUS tarafından çalındı ​​ve sızdırıldı bir enfeksiyonun ilk aşamalarında bırakılan bir çekirdek sürücüsünü imzalamak için.

Sürücüde dijital imza
Sürücüde çalınan dijital imza (Birim 42)

Sürücünün görevi, güvenlik ürünlerine ait süreçleri keşfetmek ve tehdit aktörlerinin güvenliği ihlal edilmiş ortamda tespit edilmekten kaçmasına yardımcı olmak için bunları sonlandırmaktır.

Sürücü tarafından hedeflenen güvenlik ürünleri
Sürücü tarafından hedeflenen güvenlik ürünleri (Birim 42)

Ardından, Tropical Scorpius, Windows Ortak Günlük Dosyası Sistemi Sürücüsünde bir hata olarak düzeltilen bir kusur olan CVE-2022-24521 için bir istismar özelliğine sahip yerel bir ayrıcalık yükseltme aracı getiriyor. sıfır gün içinde Nisan 2022.

Ünite 42’ye görebilgisayar korsanları, güvenlik araştırmacısının ayrıntılı bir yazısından ilham almış gibi görünen bir istismar stratejisi uyguladılar. Sergey Kornienko.

Bir sonraki aşamada, Tropical Scorpius, yanal hareket gerçekleştirmek için ADFind ve Net Scan’i indirir. Bu aynı zamanda tehdit aktörünün önbelleğe alınmış Kerberos kimlik bilgilerini alabilen yeni bir araç dağıttığı zamandır.

Kerberus önbellek çıkarıcı
Kerberus önbellek çıkarıcı (Birim 42)

Unit 42 araştırmacıları tarafından görülen bir başka yeni teknik, DA (etki alanı yöneticisi) ayrıcalıkları elde etmek için CVE-2020-1472’den yararlanan bir ZeroLogon hack aracı kullanmaktır.

Zerologon hack aracı
Zerologon hack aracı (Birim 42)

Son olarak, Tropical Scorpius, Windows API işlevleri aracılığıyla gerçekleştirilen ICMP istekleri aracılığıyla C2 iletişimini işleyen, daha önce görülmemiş bir kötü amaçlı yazılım olan “ROMCOM RAT”ı dağıtır.

ROMCOM RAT, aşağıda listelenen on komutu destekler:

  • Bağlı sürücü bilgilerini döndür
  • Belirtilen bir dizin için dosya listelerini döndür
  • %ProgramData% klasörü içinde svchelper.exe adı altında bir ters kabuk başlatın
  • Dosyaları kopyalamak için IShellDispatch kullanarak verileri ZIP dosyası olarak C2’ye yükleyin
  • Verileri indirin ve %ProgramData% klasöründeki work.txt dosyasına yazın
  • Belirtilen bir dosyayı sil
  • Belirtilen dizini sil
  • PID Spoofing ile bir süreç oluşturma
  • Yalnızca ServiceMain tarafından işlenir, C2 sunucusundan alınır ve işleme 120.000 ms uyku moduna geçmesi talimatını verir
  • Çalışan süreçleri yineleyin ve süreç kimliklerini toplayın

Unit 42, Tropical Scorpius’un ROMCOM’un yeni bir sürümünü derlediğini ve 20 Haziran 2022’de aynı C2 adresini (sabit kodlanmış) gösteren VirusTotal’da test için yüklediğini fark etti.

İkinci sürüm, mevcut 10’un üzerine on yeni komut ekleyerek, uzaktan operasyonlarına daha gelişmiş yürütme, dosya yükleme ve işlem sonlandırma seçenekleri verdi.

Ayrıca, yeni sürüm, “Screenshooter” adlı bir masaüstü snapper gibi, C2’den ek yüklerin alınmasını destekler.

ROMCOM RAT 2.0, Screenshooter'ı C2'den indiriyor
ROMCOM RAT 2.0, Screenshooter’ı C2’den indiriyor (Birim 42)

Küba gelişen

Tropical Scorpius’un ve onun yeni TTP’lerinin ortaya çıkması, Küba fidye yazılımının, kurban sayısı açısından en üretken RaaS olmasa bile, daha büyük bir tehdide dönüştüğünü gösteriyor.

Ancak Küba, düşük bir profil tutmayı ve daha hafif bir çifte gasp yaklaşımı izlemeyi seçti, bu nedenle gerçek kurban sayısı bilinmiyor.

Çete, Haziran 2022’den bu yana dört kurbanın çalınan dosyalarını Onion sitesindeki “ücretsiz” bölümünde yayınladı, ancak “ücretli” teklifleri yakın zamanda güncellenmedi.

Müzakere ve şantaj için gereken süreyi düşünürsek, yılın ikinci yarısında ‘Tropical Scorpius’ güncellemesinin sonuçlarını görebiliriz.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.