Mart 2025 siber tehdit taktiklerinde önemli bir evrim gördü, fidye yazılımı grupları ile yeni teknikler benimseyen ve operasyonlarını genişleten. Güvenlik araştırmacıları bu ay birkaç yüksek etkili tehdit belirledi, Kurumsal bir casusluk grubunun fidye yazılımlarına geçişi dahil, Yeni EDR Kaçma Araçları, Sofistike ulus-devlet saldırıları, ve işletmeleri hedefleyen aldatıcı kimlik avı kampanyaları. Bu kapsamlı analiz, güvenlik profesyonellerinin ve işletmelerinin farkında olması gereken en önemli siber güvenlik gelişmelerini kapsamaktadır..
Kaynak: Verileri analiz etti Acronis Tehdit Araştırma Birimi endüstri etki değerlendirmeleri ile birleştiğinde
Redcurl gelişir: Kurumsal Casusluk Grubu, Qwcrypt ile İlk Fidye Yazılımı Kampanyasını başlattı
Mart ayında 26, 2025, Güvenlik araştırmacıları, kötü şöhretli hackleme grubunun Redcurl (Earth Kapre ve Red Wolf olarak da bilinir) geleneksel kurumsal casusluk faaliyetlerinden ilk kez fidye yazılımlarını dağıtmaya kaydı. Bu stratejik pivot, grubun taktiklerinde önemli bir evrimi işaret ediyor, teknikler, ve prosedürler (TTPS).
QWCrypt Fidye Yazılımının Teknik Analizi
Yeni tanımlanan fidye yazılımı suşu, qwcrypt adlı, Özellikle sanal makineleri hedefler, sanallaştırılmış altyapı olan kuruluşlar için özellikle tehlikeli hale getirmek. Kötü amaçlı yazılımın saldırı zinciri, İK temalı lurs içeren sofistike mızrak aktı e-postalarıyla başlar. Bu e -postalar, meşru bir Adobe yürütülebilir aracılığıyla kötü amaçlı yazılımları kenar yükleyen kötü niyetli PDF'ler ve ISO dosyaları sunar, Tespitten kaçınmak için güvenilir uygulama yollarından yararlanmak.
Saldırı aşaması | Teknik detaylar |
---|---|
İlk Erişim | Kötü niyetli PDF'ler ve ISO dosyaları içeren İK temalı lures ile mızrak-aktı e-postaları |
Uygulamak | Meşru Adobe Yürütülebilir Mühendebe aracılığıyla Kötü Yazılımları Sideloading |
Kalıcılık | Sistem ayrıcalıklarıyla oluşturulan kayıt defteri değişiklikleri ve planlanmış görevler |
Yanal hareket | Kimlik Gerçeği Hırsızlığı ve Patlamasız Güvenlik Açıklarının Sömürü |
Darbe | Sanal makinelerin şifrelemesi, Tüm altyapıların çalışmaz hale getirilmesi |
Ransomware’in tasarımı, Lockbit ve Hardbit gibi yerleşik gruplardan öğeleri taklit ediyor gibi görünüyor, Potansiyel olarak atıf çabalarını karıştırmak. Özellikle, Araştırmacılar, bu saldırılarla ilişkili özel bir sızıntı sitesi belirlemediler, Fidye talebinin gerçek olup olmadığı veya fidye yazılımı dağıtımının grubun geleneksel casusluk faaliyetlerinden bir dikkat dağıtıcı olup olmadığı hakkında sorular sormak.
Hedefler ve coğrafi dağılım
Redcurl, Kanada'da tarihsel olarak hedeflenen kuruluşlara sahiptir, Almanya, Norveç, Birleşik Krallık, ve Amerika Birleşik Devletleri. Grubun fidye yazılımı operasyonlarına geçişi, tehdit profilini veri hırsızlığından bu bölgelerdeki operasyonel bozulmaya genişletiyor.
Edrkillshifter: RansomHub’ın Güvenlik Kaçınma Aracı Bağlantıları Birden Siber Salın Grupları
Mart ayı boyunca izlenen önemli bir gelişmede, Güvenlik araştırmacıları, EdrkillShifter adlı ortak bir güvenlik kaçakçılığı aracı kullanılarak üç ayrı siber suç grubu arasındaki bağlantıları keşfettiler.. Bu araç, Başlangıçta Ransomhub fidye yazılımlarının bağlı kuruluşları için geliştirildi (Raas) ameliyat, Son nokta algılamasını ve yanıtı devre dışı bırakmak için savunmasız sürücülerden yararlanıyor (EDR) yazılım.
Araç özellikleri ve teknik detaylar
Edrkillshifter gelişmiş bir “Kendi savunmasız sürücünüzü getirin” (BYÖVD) Güvenlik savunmalarını devre dışı bırakma yaklaşımı. Araç, meşru ancak savunmasız sistem sürücülerini hedefler, İşletim sistemi içindeki koruyucu önlemleri kapatmak için bunları sömürmek. Başarılı bir şekilde konuşlandırıldığında, Güvenlik araçlarını daha sonraki kötü amaçlı faaliyetlere etkili bir şekilde kör eder.
Yeni tanımlanmış bir tehdit oyuncusu, Dublajlı Quadswitcher, Birden fazla fidye yazılımı grubuna atfedilen saldırılarda EdrkillShifter kullanılarak gözlendi, içermek:
- Ransomhub
- Fidye Yazılımı Oynayın
- Medusa Fidye Yazılımı
- Bianlian fidye yazılımı
Araştırmacılar, paylaşılan EdrkillShifter örneklerini ve komut ve kontrol sunucusu altyapısını analiz ederek bu gruplar arasındaki bağlantıyı doğruladılar, Farklı Fidye Yazılımı İşlemlerinde Takımın Nasıl Paylaşıldığını Gösterme.
Savunma Önerileri
Bu saldırılar idari erişim gerektirdiğinden, Kuruluşlar birkaç önleyici tedbir uygulayabilir:
- Bilinen savunmasız sürücüler için sürücü blok listesini uygulayın
- Koruma için Windows Defender’ın Sürücü Blok Listesi özelliğini kullanın
- Sürücü Yükleme Olaylarını Monitör, özellikle üçüncü taraf araçlarla ilişkili olanlar
- Güvenlik yazılımını devre dışı bırakma girişimlerini algılayabilen gelişmiş EDR çözümlerini dağıtın
- Saldırganların idari ayrıcalıklar kazanmasını önlemek için güçlü erişim kontrolleri uygulayın
EDR Killers'ın Yükselişi, Fidye Yazılımı Taktikleri'nde bir eğilimi vurgular, Tehdit aktörleri sürekli olarak giderek artan sofistike güvenlik savunmalarına uyum sağladıkça.
Çince APT Grubu Ünlüsparrow, Shadowpad ile Saldırı Araç Setini Geliştirir
Güvenlik araştırmacıları, bir ABD'ye karşı hedeflenen saldırıları tespit ettiler. Ticaret Grubu ve Çinli Gelişmiş Kalıcı Tehdit'e Atfedilen Bir Meksika Araştırma Enstitüsü (Uygun) grup ünlüsparrow. Kampanya, ilk Mart ayının başında tespit edildi 2025, Grubun imza Sparrowdoor Backdoor'un Shadowpad kötü amaçlı yazılımının yanında konuşlandırılmasını içerir - bu özel aracı kullanarak ünlüsparrow'un ilk gözlemlenen örneğini işaretleme.
Saldırının teknik detayları
Kampanyanın analizi, Sparrowdoor'un iki yeni versiyonunu ortaya çıkardı, Geliştirilmiş komut yürütme özelliklerine sahip önemli ölçüde geliştirilmiş bir modüler varyant dahil. Saldırı dizisi, ulus-devlet aktörleri için tanıdık bir model izler:
- İlk Erişim: Eski Windows Server ve Microsoft Exchange Server güvenlik açıklarının kullanımı
- Kalıcılık: Erişimi korumak için sofistike bir web kabuğunun dağıtım
- Yük dağıtım: Sparrowdoor Backdoor ve Shadowpad kötü amaçlı yazılımının kurulumu
Sparrowdoor'un modüler sürümü, birden fazla gelişmiş özelliği destekler, içermek:
- Kimlik Hırsızlığı İçin Tuş Dizlik Günlüğü
- Veri açığa çıkması için dosya aktarımı
- Stealth'i korumak için işleme manipülasyonu
- Görsel zeka toplama için uzak masaüstü yakalama
Gölge padü, Çin devlet destekli tehdit aktörleriyle yaygın olarak ilişkili modüler bir arka kapı, ANCOMSPARRROW’un yeteneklerini önemli ölçüde genişletiyor, Çin APT grupları arasında potansiyel işbirliği veya araç paylaşımı önermek.
FBI uyarısı: Sahte Dosya Dönüştürücüler Bilgi Çalan ve Fidye Yazılımı Dağıtım
FBI Denver Saha Ofisi, hassas bilgileri çalmak ve fidye yazılımlarını dağıtmak için kullanılan sahte çevrimiçi belge dönüştürücülerin raporlarında bir artışı gözlemledikten sonra acil bir uyarı yayınladı.. Bu uyarı, Mart ayında yayınlandı 20, 2025, hem kişisel hem de iş kullanıcılarını hedefleyen bir eğilimi vurgular.
Saldırı nasıl çalışır
Siber suçlular, ücretsiz belge dönüştürme hizmetleri sağladığını iddia eden ancak kötü niyetli niyetleri gizleyen aldatıcı web siteleri oluşturur:
- Belge Dönüşüm Araçları Arayan Kullanıcılar bu sitelerle karşılaşır, Genellikle Google reklamları aracılığıyla tanıtılır
- Siteler meşru görünür ve aslında vaat edilen dönüşüm işlevselliğini sağlayabilir
- Kullanıcılar dönüşüm için belge yüklediğinde, Siteler, dosya içeriğinden hassas bilgileri çıkarır
- İade edilen dönüştürülmüş dosyalar, uzaktan erişim sağlayan gömülü kötü amaçlı yazılım içerir
- Daha şiddetli durumlarda, Fidye yazılımı dağıtıldı, kurbanın dosyalarını şifrelemek
Araştırmacılar, bu hileli dönüştürücü alanlarını tanımlamaya yardımcı olan birden fazla gösterge belirlediler.:
Uyarı işareti | Detaylar |
---|---|
Alan adı | Tipik olarak geçmişte kayıtlı 30 günler |
Gizlilik Politikası | Eksik veya son derece belirsiz gizlilik bilgileri |
İletişim bilgileri | Meşru iş iletişim detayları yok |
SSL Sertifikası | Genellikle minimum doğrulama ile ücretsiz sertifikalar kullanma |
Web sitesi tasarımı | Küçük değişikliklerle meşru hizmetlerin klonu |
Bu hizmetler aracılığıyla sunulan kötü amaçlı yazılım, çok çeşitli hassas bilgiler elde edebilir, İsimler dahil, şifreler, kripto para tohumları, ve bankacılık kimlik bilgileri, mağdurlar için önemli finansal kayıplara yol açar.
Sahte dönüştürücü saldırılarını önleme
Bu tehditlere karşı korumak için, FBI, birkaç önleyici tedbir öneriyor:
- Yalnızca yerleşik kullanın, Saygın dosya dönüştürme araçları ve hizmetleri
- Kötü niyetli web sitelerini tanımlayabilen kapsamlı güvenlik yazılımı yükleyin
- Hassas belgeleri yüklemeden önce web sitesi meşruiyetini doğrulayın
- Hassas bilgileri işlerken çevrimdışı dönüşüm araçlarını kullanmayı düşünün
- Fidye yazılımı saldırısı durumunda kurtarmayı etkinleştirmek için kritik dosyaları düzenli olarak yedekleyin
Bu dolandırıcılıklara zaten kurban edilmiş işletmeler ve bireyler için, istemi kötü amaçlı yazılım kaldırma işlemi potansiyel hasarı azaltmak için gereklidir.
Sofistike kimlik avı kampanyası tarafından hedeflenen SEO profesyonelleri
Yeni tanımlanan bir kimlik avı kampanyası, Google Hesap Kimlik Bilgilerini Çalmak İçin Tasarlanmış Sahte Semrush Google Reklamlarını Kullanarak SEO uzmanlarını özellikle hedefliyor.. Semrush, SEO için araçlar sağlayan popüler bir SaaS platformu, Çevrimiçi reklamcılık, ve içerik pazarlaması, Bu son derece hedeflenen kampanyada taklit ediliyor.
Kampanya detayları ve hedefleri
Güvenlik analistleri, bir Brezilya tehdit grubunun bu kampanyanın arkasında olduğuna inanıyor, hangi özel olarak Google reklamları yakalamayı amaçlayan daha fazla kötü niyetli saldırı başlatmayı açıklıyor. Operasyon, dijital pazarlama ekosisteminin sofistike bir anlayışını göstermektedir.:
- Saldırganlar, Semrush’ın arayüzünü taklit eden ikna edici kimlik avı siteleri yaratıyor
- Bu siteler, semrush'a benzer ancak farklı üst düzey alanlara sahip alan adları kullanır
- Mağdurlar yoluyla kimlik doğrulamaya zorlanıyor “Google ile giriş yapın” işlevsellik
- Kimlik bilgileri girildiğinde, Saldırganlar mağdurun Google hesabına erişebilir
- Bu erişim, Google Analytics ve Google Arama Konsolundan hassas iş verilerinin çalınmasını sağlar
İlgili bir gelişmede, Devam eden başka bir kimlik avı kampanyası, Heracles MSIL Truva atı sunmak için Google Arama Sonuçlarında Sahte Deepseek Reklamlarından yararlanmaktır, Kripto para cüzdanlarını hedefleyen bilgi çalan bir kötü amaçlı yazılım. Bu kampanya, kurbanları Infostealer'ı dağıtan kötü amaçlı web sitelerine yönlendirmek için sponsorlu Google arama sonuçlarını kullanıyor.
Sanayi Etkisi ve Önleme
Bu kimlik avı kampanyaları, belirli profesyonel gruplara karşı hedeflenen saldırıların gelişen doğasını vurgulamaktadır. SEO ve dijital pazarlama uzmanları ek güvenlik önlemleri uygulamalıdır, içermek:
- Tüm Google hesaplarında çok faktörlü kimlik doğrulamayı etkinleştirme
- Kimlik bilgilerini girmeden önce oturum açma sayfalarının URL'sini dikkatlice doğrulamak
- Kimlik avı algılama özelliklerine sahip şifre yöneticilerini kullanma
- Yazılım hizmetleri için Google reklamlarına şüpheci olmak, Arama sonuçlarının başında göründüklerinde bile
- Bu özel tehditler hakkında şirket çapında güvenlik farkındalığı eğitiminin uygulanması
Kuruluşlar ayrıca uygulanmayı düşünmelidir Kapsamlı Güvenlik Çözümleri kimlik avı denemelerini ve kötü amaçlı yazılım indirmelerini otomatik olarak algılayabilir ve engelleyebilir.
Koordineli savunma: Gelişen tehdit manzarasına yanıt vermek
Bu tehditlerin gösterdiği gibi, Siber suçlu taktikler sofistike ve etki içinde gelişmeye devam ediyor. Kuruluşlar, çok katmanlı bir güvenlik yaklaşımı benimsemelidir.:
- Güvenlik Açığı Yönetimi: Güncel bir sistem envanterini koruyun ve düzenli yama uygulama, özellikle Microsoft Exchange gibi internete dönük uygulamalar için.
- E -posta Güvenliği: Sofistike kimlik avı denemelerini algılamak ve engellemek için gelişmiş e -posta filtreleme çözümlerini dağıtın, özellikle İK temalı yemleri kullananlar.
- EDR/XDR Çözümleri: Güvenlik araçlarını devre dışı bırakma girişimlerini tespit edebilen ve yanıtlayabilen modern uç nokta koruma platformlarını uygulayın.
- Güvenlik bilinci: Çalışanlar için düzenli eğitim yapın, Kimlik avı girişimlerini ve şüpheli web sitelerini tanımaya özel odaklanarak.
- Olay Yanıt Planlaması: Bir güvenlik ihlali durumunda hızlı muhafaza ve iyileşmeyi sağlamak için olay müdahale prosedürlerini geliştirin ve düzenli olarak test edin.
Fidye yazılımı işlemlerinin yakınsaması, Ulus-Devlet Taktikleri, ve hedeflenen kimlik avı kampanyaları, uyanıklık ve proaktif savunma önlemleri gerektiren zorlu bir güvenlik ortamı yaratır. Ortaya çıkan tehditler hakkında bilgi sahibi olarak ve uygun güvenlik kontrollerini uygulayarak, Kuruluşlar bu gelişen manzarada riske maruz kalmalarını azaltabilir.
Potansiyel enfeksiyonlarla ilgili endişe duyan bireyler ve işletmeler için, Gibi araçları kullanmayı düşünün Truva Atı Temizleyici Sistemlerinizi zaten tehlikeye atmış olabilecek kötü amaçlı yazılımları taramak ve ortadan kaldırmak.