Haberler

LockFile Fidye Yazılımı Domain Controller’ları Ele Geçirmek İçin PetitPotam Zafiyetini Kullanıyor

Saldırganlar, fidye saldırıları sırasında windows etki alanlarını ele geçirmek için PetitPotam NTLM Relay saldırısını kullanmaya başladılar. Saldırıların arkasında LockFile fidye çetesi olduğu düşünülüyor.

DC erişimi için PetitPotam’dan yararlanılıyor

LockFile saldırıları bugüne kadar çoğunlukla ABD ve Asya’da görüldü ve hedef kitlesi olarak finansal hizmetler, imalat, mühendislik, hukuk, iş hizmetleri, seyahat ve turizm.sektörlerdeki kuruluşlar bulunuyor.

Symantec’teki güvenlik araştırmacıları, saldırganın ağdaki ilk erişiminin Microsoft Exchange sunucuları aracılığıyla olduğunu, ancak şu anda kesin yöntemin bilinmediğini söyledi.

LockBit benzerliği

Symantec araştırmacıları LockFile fidye yazılımından alınan fidye notunun LockBit fidye yazılımı grubu tarafından kullanılanla çok benzediğini belirtiyor.

Symantec araştırmacıları, LockFile’ın saldırı zincirini analiz ettiklerini ve bilgisayar korsanlarının şifreleme yazılımını yaymadan önce genellikle ağda en az birkaç gün geçirdiklerine dikkat çekti. Araştırmacılar, Exchange sunucularının hedef alındığını ve saldırganın uzak bir kaynaktan dosya indirmeye yarayan PowerShell komutu çalıştırdığını söylüyor. Saldırının son aşamasında, saldırganın fidye yazılımı dağıtmadan 20 ila 30 dakika önce, ele geçirilmiş Exchange sunucusuna PetitPotam istismarı için iki dosyayı yükleyerek etki alanı denetleyicisini ele geçirmeye çalıştığı belirtiliyor.

active_desktop_render.dll
active_desktop_launcher.exe - (legitimate KuGou Active Desktop launcher)

Tüm adımlardan sonra, ele geçirilen domain controller yardımıcı ile fidye yazılımının ağ üzerinden dağıtılıyor.

Kaynak: bleepingcomputer.com

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.