Yakın zamanda keşfedilen bir bağlı kuruluş Yanluowang fidye yazılımı operasyon, keşif aşamasında BazarLoader kötü amaçlı yazılımlarını kullanarak finans sektöründeki ABD kuruluşlarına yönelik saldırılarını odaklamaktadır.
Gözlemlenen taktiklere, tekniklere ve prosedürlere dayanarak, tehdit aktörü hizmet olarak fidye yazılımı (RaaS) operasyonlarında deneyimlidir ve Fivehands grubuyla bağlantılı olabilir.
Fivehands fidye yazılımı bağlantısı
Broadcom Software’in bir bölümü olan Symantec’teki araştırmacılar, aktörün en az Ağustos ayından bu yana ABD’deki yüksek profilli hedefleri vurduğuna dikkat çekiyor.
İlgi alanı finansal kurumlar olsa da, Yanluowang fidye yazılımı iştiraki üretim, BT hizmetleri, danışmanlık ve mühendislik sektörlerindeki şirketleri de hedef almıştır.
Taktiklere, tekniklere ve prosedürlere (TTP’ler) bakıldığında, araştırmacılar Fivehands grubu tarafından geliştirilen bir fidye yazılımı operasyonu olan Thieflock ile eski saldırılarla olası bir bağlantı olduğunu fark ettiler.
Fivehands fidye yazılımı kendisi sahnede nispeten yeni, Nisan ayında bilinir hale geliyor – ilk Mandiant’tan rapor, geliştiricisini UNC2447 olarak izliyor ve ardından CISA’dan uyarı.
O zamanlar Mandiant, UNC2447’nin “tespit edilmekten kaçmak ve izinsiz giriş sonrası adli tıpları en aza indirmek için gelişmiş yetenekler” gösterdiğini ve bağlı ortaklıklarının RagnarLocker fidye yazılımı dağıttığını söyledi.
Symantec, son Yanluowang saldırıları ile Thieflock’a sahip eski saldırılar arasında bulunan bağlantının belirsiz olduğunu, çünkü Fivehands fidye yazılımı saldırılarında bulunan birkaç TTP’ye dayandığını belirtiyor:
- özel parola kurtarma araçlarının ve açık kaynaklı olanların kullanımı (örn. GrabFF)
- açık kaynaklı ağ tarama araçlarını kullanma (örneğin SoftPerfect Ağ Tarayıcısı)
- veri yüklemek ve indirmek için S3 Tarayıcı ve Cent tarayıcısını kullanma
“Bu bağlantı, Yanluowang’ın Canthroid tarafından geliştirilip geliştirilmediği sorusunu akla getiriyor. [a.k.a. Fivehands]. Bununla birlikte, Yanluowang ve Thieflock’un analizi ortak yazarlığa dair herhangi bir kanıt sunmaz. Bunun yerine, en olası hipotez, bu Yanluowang saldırılarının eski bir Thieflock iştiraki tarafından gerçekleştirilebileceğidir.” araştırmacılar diyor.
Ticaretin araçları
Hedef ağa erişim sağladıktan sonra saldırgan, yanal hareket etmeye yardımcı olmak için BazarLoader kötü amaçlı yazılımı gibi araçları indirmek için PowerShell’i kullanır.
BazarLoader, Conti fidye yazılımını da yayan TrickBot botnet tarafından kurumsal hedeflere teslim edilir. Daha yakın zamanda, TrickBot operatörleri yardım etmeye başladı yeniden oluşturma Emotet botnet.
Yanluowang tehdit aktörü, kayıt defterinden uzak masaüstü hizmetini (RDP) etkinleştirir ve uzaktan erişim için ConnectWise aracını yükler.
Araştırmacılar, bağlı kuruluşun ana bilgisayar adlarını ve ağ hizmetlerini bulmak için Active Directory’yi ve SoftPerfect Ağ Tarayıcısını sorgulamak için AdFind aracıyla ilgi çekici sistemler keşfettiğini söylüyor.
Güvenliği ihlal edilmiş makinelerin tarayıcılarından (Firefox, Chrome, Internet Explorer) kimlik bilgilerini çalmak için çeşitli araçlar kullanılır: GrabFF, GrabChrome, BrowserPassView.
Symantec’in araştırmacıları ayrıca saldırganın KeePass şifre yöneticisi, bir ekran yakalama aracı ve veri sızdırma yardımcı programı Filegrab’ın ana anahtarını çalmak için KeeThief’i kullandığını fark etti.
Yanluowang saldırıları hakkında daha önce yayınlanan bir raporda şirket, bilgisayar korsanlarının kurbanın taleplere uymaması durumunda dağıtılmış hizmet reddi (DDoS) ve veri silme saldırılarıyla tehdit ettiğini belirtti.
Bugünün rapor Yanluowang bağlı kuruluşu, saldırıda kullanılan araçlar ve kötü amaçlı yazılımlar için uzlaşma göstergeleri içerir.