Action1 RMM'yi Kötüye Kullanan Fidye Yazılımı Operatörleri
Action1 RMM gibi uzaktan izleme ve yönetim (RMM) araçları, yama yönetimi, güvenlik yazılımı kurulumu ve sorun giderme. Ne yazık ki, bu araçların yetenekleri, artık kurumsal ağları tehlikeye atmak ve kalıcılığı sürdürmek için onları kötüye kullanan tehdit aktörlerinin de dikkatini çekti.
İçindekiler
Kurumsal Ağları Ele Geçiren Tehdit Aktörleri
Güvenlik firmalarından gelen son raporlar ve araştırmacıların tweet'leri, Action1 RMM'nin fidye yazılımı saldırılarında kötüye kullanıldığına ışık tuttu. Action1'i kullanan tehdit aktörleri, güvenliği ihlal edilmiş makinelere kötü amaçlı yazılım türleri bırakmak için komutları, komut dosyalarını ve ikili dosyaları çalıştırabilir. Bu eylemler, yürütme sırasında komut satırında algılandığında kötüye kullanım belirtisi veren, platform içinde bir "politika" veya "uygulama" oluşturulmasını gerektirir.
Action1, soruna yanıt olarak, kullanıcı etkinliğini şüpheli davranış kalıplarına karşı taramak, potansiyel olarak kötü niyetli hesapları tespit etmek ve daha fazla araştırma için özel güvenlik ekibini uyarmak için yapay zeka filtreleme gibi güvenlik yükseltmeleri uygulamıştır.
Kostas'ın Tweetini Destekleyen Kanıtlar
Gönüllü analist grubu The DFIR Report'un bir üyesi olan Kostas, fidye yazılımı operatörlerinin Action1 RMM platformunu kötüye kullandığını tweetledi ve bu sistemi kullanarak artan saldırılara yönelik potansiyel riskin altını çizdi. Bu iddiaları doğrulamak için, durumun daha net anlaşılmasını sağlamak için ek kanıtlar gereklidir.
BlackBerry Incident Response Team'in Soruşturmasına Benzeyen TTP'ler
Kostas'ın tweet'ini destekleyen diğer kanıtlar, BlackBerry Incident Response ekibinin Monti fidye yazılımını içeren bir vakayı soruşturmasından geliyor. Bu örnekte, tehdit aktörleri bir müşterinin VMware Horizon sanallaştırma sistemine izinsiz girmek için Log4Shell güvenlik açığından yararlandı. Saldırganlar kullanıcı masaüstlerini ve sunucuları şifrelediler ve özellikle Action1 dahil olmak üzere iki uzaktan izleme ve bakım (RMM) aracısı indirip kurdular.
Araştırmacılar, RMM yazılımının saldırganlar tarafından ağ içinde kalıcılık sağlamak ve ek uzaktan erişimi kolaylaştırmak için kullanıldığına inanıyor, bu da onu Action1'den bu şekilde yararlanan bilinen ilk olay yapıyor. Daha önce Conti operatörleri tarafından kullanılan bu taktik, kötü niyetli faaliyetlerini gerçekleştirmek için Action1 gibi meşru RMM yazılımlarının çok yönlülüğünden yararlanan siber suçluların gelişimini ve adaptasyonunu göstermektedir.
Action1 Kötü Amaçlı Kullanımla Mücadele
Action1, uzaktan izleme ve yönetim (RMM) ürünlerinin fidye yazılımı operatörleri tarafından kötüye kullanılması sorununu aktif olarak ele alıyor. Şirket, platformlarının kötü amaçlı kullanımıyla mücadele etmek için çeşitli güvenlik yükseltmeleri uygularken, kullanıcı tabanlarına verimli uzaktan yönetim çözümleri sunmaya devam ediyor.
Güvenlik Yükseltmelerini Kullanma, AI Filtreleme
Action1 tarafından uygulanan güvenlik önlemlerinden biri, AI filtrelemenin kullanılmasıdır. Bu teknoloji, şüpheli davranış kalıpları için kullanıcı etkinliğini tarar ve potansiyel olarak kötü amaçlı hesapları etkili bir şekilde algılar. Action1, yapay zeka yeteneklerinden yararlanarak platformlarının fidye yazılımı saldırıları için tehdit aktörleri tarafından kullanılması riskini azaltmayı hedefliyor.
Monti Fidye Yazılımı Türü
Monti, uzmanlar tarafından Conti ailesinin daha yeni bir çeşidi olarak kabul edilen nispeten yeni bir fidye yazılımı türü. Bu gerilim, selefi Conti'yi siber uzayda önemli bir tehdit haline getiren taktikler kullanılarak gözlemlendi.
Conti Ailesinin Yeni Varyantı
Monti, fidye yazılımı saldırılarını başlatmak için uzaktan yönetim yazılımının kötüye kullanılması da dahil olmak üzere Conti'yi ciddi bir tehdit haline getiren taktiklerin çoğunu devraldı. Monti fidye yazılımı operatörleri, Conti ailesi tarafından kullanılan başarılı yaklaşımları benimseme konusunda uyarlanabilir olduklarını kanıtladılar.
Uzaktan Yönetim Yazılımının Kötüye Kullanımı
Conti, ağlara yetkisiz erişim elde etmek ve saldırılarını kolaylaştırmak için AnyDesk gibi meşru uzaktan yönetim yazılımlarını kullanmakla ünlüydü. Monti, Yönetilen Hizmet Sağlayıcılar tarafından müşteri ağlarında uzak uç nokta yönetimi için kullanılan Action1 RMM'nin kötüye kullanılmasıyla ilgili son olaylarla benzer bir yaklaşım izlemiştir.
Conti ve Monti Çeteleri Arasındaki Olası Bağlantı
Conti ve Monti fidye yazılımı operatörleri arasındaki kesin bağlantı belirsizliğini koruyor. Bununla birlikte, taktik, teknik ve prosedürlerindeki benzerlikler, Monti'nin arkasındaki suçluların Conti çetesinden etkilenmiş veya doğrudan bağlantılı olabileceğini düşündürmektedir. Bağlantı ne olursa olsun, Monti'nin bir fidye yazılımı türü ile kanıtlanmış taktikleri bir araya getirmesi, işletmeler ve sistemleri için önemli bir tehdit oluşturuyor.