Storm-2603 Grubu Velociraptor Aracını LockBit Fidye Yazılımı Operasyonlarında Kötüye Kullanıyor

Anasayfa » Storm-2603 Grubu Velociraptor Aracını LockBit Fidye Yazılımı Operasyonlarında Kötüye Kullanıyor
Siber Güvenlik, Tehdit İstihbaratı
Ekim 14, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Storm-2603 Grubu Velociraptor Aracını LockBit Fidye Yazılımı Operasyonlarında Kötüye Kullanıyor

Storm-2603 (CL-CRI-1040 veya Gold Salem olarak da bilinir) fidye yazılımı dağıtımı konusunda Warlock ve LockBit gibi tehdit aktörleriyle ilişkilendiriliyor. Sophos tarafından geçen ay yayımlanan rapora göre, bu grup Velociraptor DFIR aracının eski bir sürümünü (0.73.4.0) kullanarak kritik SharePoint zafiyetleri üzerinden ilk erişimi sağlıyor ve CVE-2025-6264 ayrıcalık yükseltme açığını istismar ediyor. Cisco Talos analizleri, bu yöntemle rastgele komut yürütme ve uç nokta kontrolü elde edildiğini ortaya koyuyor.

Yatay Hareketlilik ve Savunma Bypass Taktikleri

Ağustos 2025 ortasında gerçekleşen saldırıda, Storm-2603 tehdit aktörlerinin alan yöneticisi hesapları oluşturduğu ve SMB protokolü üzerinden Smbexec gibi araçlarla uzaktan program çalıştırdığı tespit edildi. Ayrıca Active Directory Grup İlkesi Nesneleri (GPO) üzerinde değişiklik yaparak gerçek zamanlı korumayı devre dışı bırakıp tespit mekanizmalarını etkisiz hale getirdiler. Bu saldırılar, grubun Babuk fidye yazılımı dağıtımıyla da ilk defa ilişkilendirildiğini gösteriyor.

Velociraptor’un Kötüye Kullanımı ve Gelişmiş Operasyonel Güvenlik

Rapid7, Velociraptor aracının kötüye kullanım potansiyelini daha önce duyurmuştu. Rapid7 tehdit analizleri kıdemli direktörü Christiaan Beek, bu durumun yazılım hatasından ziyade araçların amaç dışı kullanımına işaret ettiğini belirtti. Halcyon’un araştırmaları, Storm-2603’ün ToolShell açığına erken erişimi ve gelişmiş örneklerin ortaya çıkması nedeniyle Çin devlet destekli aktörlerle bağlantılar taşıdığını öne sürüyor. Bu bağlantılar, zaman damgalarının çıkarılması, kasıtlı olarak bozuk sona erme mekanizmaları ve Çin Standart Saati’ne göre zamanlanmış fidye yazılımı yüklemeleri gibi OPSEC önlemleriyle destekleniyor.

Çoklu Fidye Yazılımı Dağıtımı ve Profesyonel Ekip Yapısı

LockBit’i hem operasyonel araç hem de geliştirme temeli olarak kullanan Storm-2603, Warlock’u LockBit şemasına son iştirakçi olarak kaydetti. Grup, aynı zamanda Babuk fidye yazılımını da kullanarak çoklu fidye yazılımı dağıtımına geçti. Halcyon, grubun 48 saatlik geliştirme döngüleriyle hızlı özellik eklemeleri yaptığını ve merkezi, organize bir proje yapısına sahip olduğunu belirtiyor. Mart 2025’te AK47 C2 altyapısını kuran grup, kısa sürede prototip geliştirdi ve operasyonel esneklik, tespitten kaçınma ve atama karıştırma taktikleriyle sofistike bir tehdit aktörü profili çizdi.

, , , , , , ,