LeakNet fidye yazılımı, Kasım 2024’ten itibaren ele geçirilmiş web siteleri üzerinden yürüttüğü saldırılarda ClickFix adlı sosyal mühendislik taktiğini kullanarak ilk erişimini sağlıyor. Bu yöntem, kullanıcıları Windows Çalıştır penceresine “msiexec.exe” komutunu yapıştırmaya ikna eden sahte CAPTCHA doğrulama kontrolleriyle gerçekleştiriliyor. Böylece, kullanıcılar var olmayan hataları düzeltmek için kötü niyetli komutları manuel olarak çalıştırmaya yönlendiriliyor.
Saldırı Zinciri ve Teknik Detaylar
LeakNet’in saldırı zinciri, ClickFix aracılığıyla ilk erişim sağlandıktan sonra Deno JavaScript çalışma zamanı üzerinde inşa edilmiş aşamalı bir komut-kontrol (C2) yükleyicisi ile devam ediyor. Bu yükleyici, zararlı kodları doğrudan bellekte çalıştırarak diskte kanıt bırakmayı en aza indiriyor ve tespit edilmesini zorlaştırıyor. Yükleyici, ele geçirilen sistemi tanımlıyor, dış sunucuya bağlanarak sonraki aşama kötü amaçlı yazılımı indiriyor ve Deno aracılığıyla ek kodları döngüsel olarak çekip çalıştırıyor.
LeakNet, sömürü sonrası aşamada DLL yan yükleme yöntemiyle kötü amaçlı DLL’i başlatıyor, ardından PsExec kullanarak yatay hareket gerçekleştiriyor, veri sızdırıyor ve dosyaları şifreliyor. Ayrıca, yerleşik Windows komutu cmd.exe /c klist ile aktif kimlik doğrulama bilgilerini kontrol ederek erişilebilir hesapları belirliyor ve hızlı hareket ediyor.
Hedefler ve Etki Alanı
Grup, endüstriyel kuruluşlar başta olmak üzere geniş sektör yelpazesini hedef alıyor. Saldırılar belirli bir sektöre sınırlı kalmıyor; mümkün olduğunca çok kurbanı enfekte etmek için geniş bir ağ kuruyor. ClickFix yöntemi, üçüncü taraf tedarikçilere olan bağımlılığı azaltıyor ve kurban başına edinim maliyetini düşürürken, değerli hesapların piyasaya çıkmasını bekleme sürecini ortadan kaldırıyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Web trafiğinde ele geçirilmiş sitelerden gelen şüpheli komut çalıştırma taleplerini EDR ve SIEM ile izleyin.
- Windows Çalıştır (Run) penceresine manuel komut yapıştırılması gibi sosyal mühendislik taktiklerine karşı kullanıcı eğitimleri düzenleyin.
- Deno çalışma zamanı ve bellek içi yükleyiciler için anormal süreç davranışlarını tespit edecek gelişmiş davranış analizi kuralları oluşturun.
- PsExec ve DLL yan yükleme gibi yatay hareket tekniklerine karşı ağ segmentasyonu ve erişim kısıtlamaları uygulayın.
- Aktif kimlik doğrulama bilgilerini izlemek için düzenli olarak
klistkomutu çıktılarının denetimini sağlayın. - Bulut ortamlarında S3 benzeri depolama alanlarının kötüye kullanımını önlemek için erişim politikalarını sıkılaştırın.
- MFA ve Zero Trust mimarisi uygulayarak kimlik doğrulama güvenliğini artırın.
- Olay müdahale süreçlerinde ClickFix ve Deno tabanlı yükleyicilere özgü göstergeleri (IoC) dahil edin.
Teknik Özet
- Kullanılan Araçlar: ClickFix sosyal mühendislik taktiği, Deno tabanlı bellek içi yükleyici, DLL yan yükleme, PsExec.
- Hedef Sektörler: Endüstriyel tesisler, kurumsal yapılar, geniş sektör yelpazesi.
- Saldırı Zinciri: 1) ClickFix ile ilk erişim, 2) Deno tabanlı bellek içi yükleyici ile kötü amaçlı kod çalıştırma, 3) DLL yan yükleme ve yatay hareket, 4) Veri sızdırma ve şifreleme.
- Önerilen Savunma Yaklaşımları: Kullanıcı eğitimi, EDR ve SIEM entegrasyonu, ağ segmentasyonu, MFA, Zero Trust, düzenli yama ve güncelleme.
Son raporlar, fidye yazılımı saldırılarında ilk erişim vektörlerinin çeşitlendiğini ve ClickFix gibi sosyal mühendislik yöntemlerinin yaygınlaştığını gösteriyor. Bu durum, özellikle e-posta güvenliği, bulut güvenliği ve ağ segmentasyonu alanlarında güçlü önlemler alınmasını gerektiriyor. Ayrıca, olay müdahale ekiplerinin yeni saldırı tekniklerine karşı hazırlıklı olması kritik önem taşıyor.