Saldırganlar, fidye saldırıları sırasında windows etki alanlarını ele geçirmek için PetitPotam NTLM Relay saldırısını kullanmaya başladılar. Saldırıların arkasında LockFile fidye çetesi olduğu düşünülüyor.
DC erişimi için PetitPotam’dan yararlanılıyor
LockFile saldırıları bugüne kadar çoğunlukla ABD ve Asya’da görüldü ve hedef kitlesi olarak finansal hizmetler, imalat, mühendislik, hukuk, iş hizmetleri, seyahat ve turizm.sektörlerdeki kuruluşlar bulunuyor.
Symantec’teki güvenlik araştırmacıları, saldırganın ağdaki ilk erişiminin Microsoft Exchange sunucuları aracılığıyla olduğunu, ancak şu anda kesin yöntemin bilinmediğini söyledi.
LockBit benzerliği
Symantec araştırmacıları LockFile fidye yazılımından alınan fidye notunun LockBit fidye yazılımı grubu tarafından kullanılanla çok benzediğini belirtiyor.
Symantec araştırmacıları, LockFile’ın saldırı zincirini analiz ettiklerini ve bilgisayar korsanlarının şifreleme yazılımını yaymadan önce genellikle ağda en az birkaç gün geçirdiklerine dikkat çekti. Araştırmacılar, Exchange sunucularının hedef alındığını ve saldırganın uzak bir kaynaktan dosya indirmeye yarayan PowerShell komutu çalıştırdığını söylüyor. Saldırının son aşamasında, saldırganın fidye yazılımı dağıtmadan 20 ila 30 dakika önce, ele geçirilmiş Exchange sunucusuna PetitPotam istismarı için iki dosyayı yükleyerek etki alanı denetleyicisini ele geçirmeye çalıştığı belirtiliyor.
active_desktop_render.dll
active_desktop_launcher.exe - (legitimate KuGou Active Desktop launcher)
Tüm adımlardan sonra, ele geçirilen domain controller yardımıcı ile fidye yazılımının ağ üzerinden dağıtılıyor.
Kaynak: bleepingcomputer.com