Black Basta Fidye Yazılımı Özel Hacking & Evasion Araçlarını Dağıtmak için FIN7 Hacker'larıyla Bağ Kuruyor
Finansal olarak motive olmuş bir bilgisayar korsanlığı grubu olan FIN7 (diğer adıyla Carbanak) ile Black Basta fidye yazılımı çetesi arasındaki bağlantıya işaret eden kanıtlar bulundu.
Sentinel Lab'daki siber güvenlik araştırmacıları, bu iki kötü niyetli grup arasındaki bu yasadışı bağlantıyı buldukları bir analiz yaptılar.
Çifte gasp saldırısı modeli, Black Basta'nın ayırt edici özelliğidir ve bu fidye yazılımı çetesi Nisan 2022'den beri aktiftir. Öte yandan FIN7, 2015'ten beri faaliyet gösteriyor ve finansal olarak motive olmuş bir Rus hack grubu.
FIN7, dünyanın dört bir yanındaki kuruluşlara yönelik saldırılarında, POS terminallerine kötü amaçlı yazılım dağıtmak için mızraklı kimlik avı saldırıları ve POS kötü amaçlı yazılımları kullandı.
Black Basta ve FIN7 arasındaki bağlantı
Alet analizi sırasında araştırmacılar, Black Basta'nın Haziran 2022'den bu yana EDR kaçınma araçlarının özel kullanımının bir FIN7 geliştiricisi tarafından yazıldığını keşfetti.
Araştırmacılar ayrıca hem FIN7 hack grubunda hem de Black Basta fidye yazılımı çetesinde tamamen yaygın olan iki IP adresi ve TTP keşfettiler.
İlk uzlaşmayı ve diğer yasadışı faaliyetleri gerçekleştirmek için FIN7, aşağıdakileri içeren çeşitli fidye yazılımı çeteleriyle bir araya geldi:
- Maze
- Ryuk
- Darkside
- BlackCat
- ALPHV
Black Basta'nın Nisan 2022 operasyonu, çetenin önceki sofistike deneyim yeteneklerini sergiledi. O zamanlar Black Basta'nın operatörleri, birkaç analisti bunun Conti'nin yeni varyantı olabileceğine ikna eden çok sayıda yüksek profilli kurbanı hedef aldı.
Ayrıca, analiz sırasında UPX ile dolu bir yürütülebilir dosya keşfedildi ve "WindefCheck.exe" adlı özel bir araç. Uzmanlar, paketlenmemiş örneği derlemek için Visual Basic'in kullanıldığını iddia etti.
Uygulamanın ana özelliklerinden biri olarak, sistemin tamamen "sağlıklı" olduğu ve mükemmel çalıştığı izlenimiyle sahte bir Windows Güvenlik GUI'si ve tepsi simgesi görüntüler.
45[.]67[.]229[.]148'de bir C2 sunucusuna bağlantı kurmak için BIRDDOG (diğer adıyla SocksBot) arka kapısı (backdoor) Black Basta fidye yazılımı çetesinin operatörleri tarafından kullanıldı ve aynı arka kapı da aynı arka kapı. FIN7 hack grubu üyeleri tarafından kullanılır.
FIN7 operasyonları genellikle paketleyicinin kaynak koduna ve Black Basta fidye yazılımı çetesi tarafından kullanılan değer düşüklüğü aracına erişimi olan tehdit aktörleri tarafından gerçekleştirildi.
Hiç şüphe yok ki bu bağlantılar, bu iki grup arasındaki güçlü ilişkinin ikna edici kanıtıdır.
Sürekli genişleyen, değişen ve gelişen suç yazılımı ekosisteminde, her zaman karşı karşıya kalınacak yeni tehditler vardır. Bu nedenle, kullanıcıların tehdit aktörleri tarafından benimsenen en son gelişen TTP'lerle güncel kalmaları gerekir, çünkü güvenlik çözümleri yalnızca tamamen koruyacak tek unsur değildir.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News