bencede
New member
ABD yetkilileri CISA, FBI ve Çok Devlet Bilgilerinin Paylaşımı ve Analiz Merkezi (MS-ISAC), çete çete aktivite çetesinin bir analizini ortaklaşa yayınladı. İçinde BT kazalarının sınavlarından elde edilen sonuçları gruplandırırlar.
Duyuru
Güvenlik bildiriminde yetkililer, hayaletin ceza makinesinin 2021 başında başladığını yazıyorlar. O zamandan beri, yazılımın veya ürün yazılımının eski sürümlerine dayanan erişilebilir hizmetlere saldırdılar. Çin'de de 70'den fazla ülkede yapılardan ödün verdiler. Orada yazarlar çetenin üyelerinin koltuğunu da belirliyorlar. Saldırıları finansal zenginleştirme için kullanıldı.
Çeşitli alanların hayalet kurbanları
İlgili kurbanlar çeşitli alanlardan geldi: kritik altyapılar (eleştiriler), okullar ve üniversiteler, sağlık hizmetleri, hükümet ağları, dini kurumlar, teknoloji ve üretim şirketleri ile çok sayıda küçük ve orta ölçekli şirket. Hayalet grubunun üyeleri son derece çeviktir. Yürütülebilir dosyaları düzenleyin, şifrelenmiş dosyalar için dosyaların soneklerini değiştirin, şantaj mesajlarını düzenleyin ve çeşitli adresleri ve -mil adreslerini kullanın. Zamanla bu, Ghost, Cry, Crypt3R, Phantom, Strike, Merhaba, Windme, Hsharada ve Rapture gibi aynı grup için çeşitli farklı isimlere yol açtı.
Aynı zamanda, hayalet transgressörleri de biraz tembel. Görünüşe göre zayıf noktalar için istismarlar üzerinde çalışmaz, ancak internetteki sunucularda çok eski yazılımları hedefleyen güvenlik boşlukları için halka açık olan istismar kodunu kullanır. Yazarlar Fortinet Fortios'taki Hayalet Gaps'a (CVE-2018-13379), Adobe Coldfusion ile Sunucu (CVE-2010-2861, CVE-2009-3960), Microsoft SharePoint (CVE-2019-0604) ve Microsoft Exchange) için hayalet saldırılara sahiptir. (CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207, zincir “Proxyshell” olarak da bilinir, yani bazen 15 yıldan fazla zayıflık.
Savunmasız sistemlere girdikten sonra, webshell hayalet yerleştirin ve Kobalt Strike Bichons'a çapa. Bununla birlikte, suç çetesi kalıcılığa büyük önem vermez, ancak kurbanların hedeflerinde sadece birkaç gün geçirir. Bununla birlikte, sporadik olarak, yeni yerel ve etki alanı hesapları oluşturdu ve mevcut eklemelerin şifrelerini değiştirdi. Saldırganlar genellikle haklarını genişletmek için kobalt grev aracını kötüye kullanırlar. Ancak diğer açık kaynak araçlarını da kullandılar, örneğin ABD yetkilileri “Sharpzerologon”, “Sharpgggppass”, “Badpotato” ve “Godpotato” olarak adlandırdılar.
Tüm -osped Silah Kobalt Grev
Ayrıca Kobalt Strike ile yazarlar devam eden süreçleri listeler ve bunları bitirmek için kullanılan antivirüs yazılımı ararlar. Çoğu zaman, hayalet üyeleri ağa bağlı cihazlarda Microsoft Defender'ı devre dışı bırakmak için komutlar kullandı. Grubun üyeleri, erişim haklarında bir artışla ağda açılmaya devam ediyor; WMIC (Windows Management Instrumentation komut satırı) kullanarak, örneğin daha fazla kobalt grevinin kurulumu için kurban ağındaki diğer sistemlerde PowerShell komutları gerçekleştirmek mümkündür.
Sonunda, saldırganlar, herhangi bir itfa ödenmezse kısaltılmış verilerin satılacağını söylüyor. Bununla birlikte, Ghost Gang üyeleri genellikle IP (Fikri Mülkiyet) veya Kişisel Kimlik Bilgileri (PII) ile önemli bilgiler veya dosyalar içeren verileri genişletmemiştir. FBI, verilerin yalnızca Cobalt-Strike-Team sunucusuna indirilmesini sınırlandırmıştır. Yazarların mega.nz.nz barındırma hizmetini kullandığı az sayıda ilişki var Tipik veri kapsamı “yüzlerce gigabayttan az” idi.
Kontrol (Komuta ve Kontrol, C2), özellikle Kobalt-uzay işaretleri ve Kobalt-Strike ekip sunucuları ile hayalette gerçekleşir. Çete nadiren C2 sunucuları için alan adlarını kaydetmeye özen gösterir, ancak doğrudan IP-Euris'e bağlanır. Posta servisi sağlayıcısı olarak, genellikle Tutano, Skiff, Protonmail, Soğan ve E -postaya güvenirsiniz. Verileri kurbanların hedeflerinde şifrelemek için Ghost, cring.exe, ghost.exe, elysium.exe ve lover.exe dosyalarını kullanır. Ayrıca Windows olaylarının protokollerini ortadan kaldırırlar, gölge kopyalar ve verileri kurtarmak için ses seviyesinin gölge kopya hizmetini devre dışı bırakırlar.
Analizlerinde ABD yetkilileri hala enfeksiyon endikasyonlarını (uzlaşma göstergeleri, yani) listeliyorlar. İlgilenen taraflar, döngünün hayaletinin kurbanı olup olmadığını kontrol etmek için kullanabilirler.
(DMK)
Duyuru
Güvenlik bildiriminde yetkililer, hayaletin ceza makinesinin 2021 başında başladığını yazıyorlar. O zamandan beri, yazılımın veya ürün yazılımının eski sürümlerine dayanan erişilebilir hizmetlere saldırdılar. Çin'de de 70'den fazla ülkede yapılardan ödün verdiler. Orada yazarlar çetenin üyelerinin koltuğunu da belirliyorlar. Saldırıları finansal zenginleştirme için kullanıldı.
Çeşitli alanların hayalet kurbanları
İlgili kurbanlar çeşitli alanlardan geldi: kritik altyapılar (eleştiriler), okullar ve üniversiteler, sağlık hizmetleri, hükümet ağları, dini kurumlar, teknoloji ve üretim şirketleri ile çok sayıda küçük ve orta ölçekli şirket. Hayalet grubunun üyeleri son derece çeviktir. Yürütülebilir dosyaları düzenleyin, şifrelenmiş dosyalar için dosyaların soneklerini değiştirin, şantaj mesajlarını düzenleyin ve çeşitli adresleri ve -mil adreslerini kullanın. Zamanla bu, Ghost, Cry, Crypt3R, Phantom, Strike, Merhaba, Windme, Hsharada ve Rapture gibi aynı grup için çeşitli farklı isimlere yol açtı.
Aynı zamanda, hayalet transgressörleri de biraz tembel. Görünüşe göre zayıf noktalar için istismarlar üzerinde çalışmaz, ancak internetteki sunucularda çok eski yazılımları hedefleyen güvenlik boşlukları için halka açık olan istismar kodunu kullanır. Yazarlar Fortinet Fortios'taki Hayalet Gaps'a (CVE-2018-13379), Adobe Coldfusion ile Sunucu (CVE-2010-2861, CVE-2009-3960), Microsoft SharePoint (CVE-2019-0604) ve Microsoft Exchange) için hayalet saldırılara sahiptir. (CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207, zincir “Proxyshell” olarak da bilinir, yani bazen 15 yıldan fazla zayıflık.
Savunmasız sistemlere girdikten sonra, webshell hayalet yerleştirin ve Kobalt Strike Bichons'a çapa. Bununla birlikte, suç çetesi kalıcılığa büyük önem vermez, ancak kurbanların hedeflerinde sadece birkaç gün geçirir. Bununla birlikte, sporadik olarak, yeni yerel ve etki alanı hesapları oluşturdu ve mevcut eklemelerin şifrelerini değiştirdi. Saldırganlar genellikle haklarını genişletmek için kobalt grev aracını kötüye kullanırlar. Ancak diğer açık kaynak araçlarını da kullandılar, örneğin ABD yetkilileri “Sharpzerologon”, “Sharpgggppass”, “Badpotato” ve “Godpotato” olarak adlandırdılar.
Tüm -osped Silah Kobalt Grev
Ayrıca Kobalt Strike ile yazarlar devam eden süreçleri listeler ve bunları bitirmek için kullanılan antivirüs yazılımı ararlar. Çoğu zaman, hayalet üyeleri ağa bağlı cihazlarda Microsoft Defender'ı devre dışı bırakmak için komutlar kullandı. Grubun üyeleri, erişim haklarında bir artışla ağda açılmaya devam ediyor; WMIC (Windows Management Instrumentation komut satırı) kullanarak, örneğin daha fazla kobalt grevinin kurulumu için kurban ağındaki diğer sistemlerde PowerShell komutları gerçekleştirmek mümkündür.
Sonunda, saldırganlar, herhangi bir itfa ödenmezse kısaltılmış verilerin satılacağını söylüyor. Bununla birlikte, Ghost Gang üyeleri genellikle IP (Fikri Mülkiyet) veya Kişisel Kimlik Bilgileri (PII) ile önemli bilgiler veya dosyalar içeren verileri genişletmemiştir. FBI, verilerin yalnızca Cobalt-Strike-Team sunucusuna indirilmesini sınırlandırmıştır. Yazarların mega.nz.nz barındırma hizmetini kullandığı az sayıda ilişki var Tipik veri kapsamı “yüzlerce gigabayttan az” idi.
Kontrol (Komuta ve Kontrol, C2), özellikle Kobalt-uzay işaretleri ve Kobalt-Strike ekip sunucuları ile hayalette gerçekleşir. Çete nadiren C2 sunucuları için alan adlarını kaydetmeye özen gösterir, ancak doğrudan IP-Euris'e bağlanır. Posta servisi sağlayıcısı olarak, genellikle Tutano, Skiff, Protonmail, Soğan ve E -postaya güvenirsiniz. Verileri kurbanların hedeflerinde şifrelemek için Ghost, cring.exe, ghost.exe, elysium.exe ve lover.exe dosyalarını kullanır. Ayrıca Windows olaylarının protokollerini ortadan kaldırırlar, gölge kopyalar ve verileri kurtarmak için ses seviyesinin gölge kopya hizmetini devre dışı bırakırlar.
Analizlerinde ABD yetkilileri hala enfeksiyon endikasyonlarını (uzlaşma göstergeleri, yani) listeliyorlar. İlgilenen taraflar, döngünün hayaletinin kurbanı olup olmadığını kontrol etmek için kullanabilirler.
(DMK)