Πρόσφατα παρατηρούμενες επιθέσεις ransomware Trigona χρησιμοποιούν ένα προσαρμοσμένο εργαλείο γραμμής εντολών για την κλοπή δεδομένων από παραβιασμένα περιβάλλοντα πιο γρήγορα και πιο αποτελεσματικά.
Το βοηθητικό πρόγραμμα χρησιμοποιήθηκε σε επιθέσεις τον Μάρτιο που αποδόθηκαν σε συνεργάτη συμμορίας, πιθανότατα σε μια προσπάθεια να αποφευχθούν δημόσια διαθέσιμα εργαλεία, όπως το Rclone και το MegaSync, που συνήθως ενεργοποιούν λύσεις ασφαλείας.
Ερευνητές της εταιρείας κυβερνοασφάλειας Symantec πιστεύουν ότι η στροφή σε ένα προσαρμοσμένο εργαλείο μπορεί να υποδηλώνει ότι ο εισβολέας «επενδύει χρόνο και προσπάθεια σε ιδιόκτητο κακόβουλο λογισμικό σε μια προσπάθεια να διατηρήσει χαμηλότερο προφίλ κατά τη διάρκεια μιας κρίσιμης φάσης των επιθέσεών του».
Σε μια έκθεση σήμερα, οι ερευνητές λένε ότι το εργαλείο ονομάζεται “uploader_client.exe” και συνδέεται με μια διεύθυνση διακομιστή με σκληρό κώδικα. Οι δυνατότητες απόδοσης και αποφυγής του περιλαμβάνουν:
- Υποστήριξη για πέντε ταυτόχρονες συνδέσεις ανά αρχείο για ταχύτερη εξαγωγή δεδομένων μέσω παράλληλων μεταφορτώσεων.
- Περιστροφή των συνδέσεων TCP μετά από 2 GB κίνησης για αποφυγή παρακολούθησης.
- Επιλογή για εκλεκτική εξαγωγή τύπου αρχείου, εξαιρουμένων των μεγάλων αρχείων πολυμέσων χαμηλής αξίας.
- Χρήση κλειδιού ελέγχου ταυτότητας για περιορισμό της πρόσβασης σε κλεμμένα δεδομένα από τρίτους.
Σε ένα περιστατικό, το εργαλείο διήθησης χρησιμοποιήθηκε για την κλοπή εγγράφων υψηλής αξίας, όπως τιμολόγια και αρχεία PDF σε μονάδες δίσκου δικτύου.
Το Trigona ransomware κυκλοφόρησε τον Οκτώβριο του 2022 ως μια επιχείρηση διπλού εκβιασμού που απαιτούσε από τα θύματά του να πληρώνουν λύτρα στο κρυπτονόμισμα Monero.
Αν και Ουκρανοί ακτιβιστές στον κυβερνοχώρο διέκοψαν τη λειτουργία του Trigona τον Οκτώβριο του 2023, χακάροντας τους διακομιστές του και κλέβοντας εσωτερικά δεδομένα, όπως πηγαίο κώδικα και αρχεία βάσης δεδομένων, η έκθεση της Symantec υποδηλώνει ότι οι παράγοντες απειλών συνέχισαν τη λειτουργία τους.
Σύμφωνα με τις παρατηρήσεις της Symantec για πρόσφατες επιθέσεις Trigona, ο παράγοντας απειλών εγκαθιστά το εργαλείο Huorong Network Security Suite HRSword ως υπηρεσία προγράμματος οδήγησης πυρήνα.
Αυτή η φάση ακολουθείται από την ανάπτυξη πρόσθετων εργαλείων που μπορούν να απενεργοποιήσουν προϊόντα που σχετίζονται με την ασφάλεια (π.χ. PCHunter, Gmer, YDark, WKTools, DumpGuard και StpProcessMonitorByovd).
“Πολλά από αυτά τα ευάλωτα προγράμματα οδήγησης πυρήνα μόχλευσης για τον τερματισμό των διαδικασιών προστασίας τελικού σημείου.” λέει η Symantec.
Ορισμένα από τα βοηθητικά προγράμματα εκτελέστηκαν με το PowerRun, ένα προϊόν που μπορεί να εκκινήσει εφαρμογές, εκτελέσιμα και σενάρια με αυξημένα προνόμια, παρακάμπτοντας έτσι τις προστασίες λειτουργίας χρήστη.
Το AnyDesk χρησιμοποιήθηκε για άμεση απομακρυσμένη πρόσβαση στα συστήματα που παραβιάστηκαν, ενώ τα βοηθητικά προγράμματα Mimikatz και Nirsoft εκτελέστηκαν για κλοπή διαπιστευτηρίων και λειτουργίες ανάκτησης κωδικού πρόσβασης.
Η Symantec έχει παραθέσει δείκτες συμβιβασμού (IoC) που σχετίζονται με την πιο πρόσφατη δραστηριότητα Trigona στο κάτω μέρος της αναφοράς της για να βοηθήσει στον έγκαιρο εντοπισμό και τον αποκλεισμό αυτών των επιθέσεων.
Η τεχνητή νοημοσύνη συνέδεσε τέσσερις ημέρες μηδέν σε ένα exploit που παρέκαμψε τόσο τα sandboxes του renderer όσο και του λειτουργικού συστήματος. Έρχεται ένα κύμα νέων κατορθωμάτων.
VIA: www.bleepingcomputer.com
