Charon Fidye Yazılımı
Siber güvenlik uzmanları, Orta Doğu'daki kamu sektörü ve havacılık endüstrisini hedef alan, Charon adlı daha önce bilinmeyen bir türü kullanan yeni bir fidye yazılımı saldırısını ortaya çıkardı. Operasyon, genellikle gelişmiş kalıcı tehdit (APT) aktörleriyle ilişkilendirilen taktiklerle yüksek düzeyde karmaşıklık sergiliyor.
İçindekiler
APT Oyun Kitaplarından Taktik Ödünç Alma
Saldırganlar, uç nokta tespit ve müdahale (EDR) araçlarını atlatmak için tasarlanmış DLL yan yükleme, işlem enjeksiyonu ve kaçamak manevralar gibi gelişmiş teknikler kullandı. DLL yan yükleme yaklaşımının, Tayvan ve Asya-Pasifik bölgesindeki devlet kurumlarını hedef alan Çin bağlantılı bir bilgisayar korsanlığı grubu olan Earth Baxia'nın saldırılarında gözlemlenen yöntemleri yansıttığı dikkat çekicidir.
Geçmişteki bu olaylarda Earth Baxia, OSGeo GeoServer GeoTools'daki artık yamalanmış bir açığı kullanarak EAGLEDOOR adlı bir arka kapı açmıştı. Charon vakasında ise saldırı, meşru bir dosya olan Edge.exe'yi (aslen cookie_exporter.exe) kullanarak SWORDLDR olarak bilinen kötü amaçlı bir msedge.dll dosyasını yüklemiş ve ardından Charon fidye yazılımı yükünü dağıtmıştı.
Charon Fidye Yazılımının Yetenekleri
Charon, dağıtıldıktan sonra diğer yıkıcı fidye yazılımı çeşitleri gibi davranır, ancak onu hem yıkıcı hem de etkili kılan optimizasyonlara sahiptir. Şunları yapabilir:
- Güvenlikle ilgili hizmetleri ve aktif süreçleri sonlandırın.
- Kurtarmayı engellemek için yedekleri ve gölge kopyaları silin.
- Daha hızlı dosya kilitleme için çoklu iş parçacığı ve kısmi şifreleme kullanın.
Bir diğer ilginç özelliği ise, açık kaynaklı Dark-Kill projesinden derlenen bir sürücünün entegre edilmiş olması. Bu, EDR araçlarını devre dışı bırakmak için "Kendi Güvenlik Açığınız Sürücüyü Getirin" (BYOVD) saldırısına olanak tanıyor. Ancak araştırmacılar, bu özelliğin henüz aktif olmadığını ve hala geliştirilme aşamasında olduğunu tespit ettiler.
Hedefli Bir Operasyonun İşaretleri
Araştırmacılar, bu kampanyanın fırsatçı olmaktan ziyade kasıtlı olduğuna inanıyor. Bu sonuç, kurban kuruluşun adının geçmesi için özelleştirilmiş bir fidye notunun varlığına dayanıyor; bu, tipik fidye yazılımı olaylarında nadir görülen bir durum. İlk erişim için kullanılan yöntem ise henüz bilinmiyor.
Belirsiz Atıf
Charon'un teknikleri Dünya Baxia'nın operasyonlarıyla benzerlikler taşısa da uzmanlar bu örtüşmenin şu anlama gelebileceği konusunda uyarıyor:
- Dünya Baxia'nın doğrudan katılımı.
- Dünya Baxia'yı taklit etmek için tasarlanmış sahte bayrak operasyonu.
- Benzer taktikleri bağımsız olarak geliştiren yeni bir grup.
Paylaşılan altyapı veya tutarlı hedefleme kalıpları gibi net kanıtlar olmadan, bağlantı spekülasyona dayalı kalır.
Siber Suç ve Ulus Devlet Taktiklerinin Artan Yakınsaması
Bu olay, endişe verici bir eğilimi gözler önüne seriyor: Fidye yazılımı grupları, saldırı ve saldırıdan kaçınmak için giderek daha fazla APT düzeyinde yöntemler benimsiyor. Gizli ticaret taktiklerinin, fidye yazılımı şifrelemesinin anında finansal ve operasyonel zararlarıyla bir araya gelmesi, hedeflenen kuruluşlar için riskleri önemli ölçüde artırıyor.
