Bir fidye yazılımı saldırısını analiz eden Unit 42, PlugX kötü amaçlı yazılımını buldu. Bu varyant, önce disket, başparmak veya flash sürücüler gibi bağlı tüm USB çıkarılabilir ortam cihazlarını tanımlar ve ardından tüm takılı ortamlara bulaşır. Virüslü bir USB çubuğu bağlanırsa, enfeksiyon hemen tüm bağlı USB cihazlarına yayılır.
Palo Alto Networks Unit 42, ekibin hacker grubu Black Basta tarafından yapılan bir fidye yazılımı saldırısına yanıt verirken gözlemlediği araçlarla ilgili bir soruşturma yayınladı. Araştırma sırasında Palo Alto Networks, kurbanların makinelerinde GootLoader kötü amaçlı yazılımı, Brute Ratel C4 kırmızı takım oluşturma aracı ve daha eski bir PlugX kötü amaçlı yazılım örneği dahil olmak üzere birkaç ilgilenilen araç belirledi.
Kötü amaçlı yazılım tüm USB ortamlarına bulaşıyor
PlugX kötü amaçlı yazılımı Unit 42'nin dikkatini özellikle çekti, çünkü bu varyant disket, parmak veya flash sürücüler gibi bağlı USB çıkarılabilir medya aygıtlarının yanı sıra USB aygıtının daha sonra bağlanacağı diğer tüm sistemleri etkiliyor.
Bu PlugX kötü amaçlı yazılımı, bu yazının yazıldığı sırada en son Windows işletim sistemlerinde (OS) bile çalışan yeni bir teknik kullanarak saldırganların dosyalarını bir USB cihazında gizler. Bu, kötü amaçlı dosyaların yalnızca Unix benzeri (*nix) bir işletim sisteminde veya USB cihazını adli bir araca takarak görüntülenebileceği anlamına gelir.
Yeni değişken, virüslü Office dosyalarını gizler
Buna ek olarak Unit 42, VirusTotal'da benzer bir PlugX varyantını keşfetti ve tüm Adobe PDF ve Microsoft Word belgelerini virüs bulaşmış ana bilgisayardan USB cihazının PlugX kötü amaçlı yazılımı tarafından oluşturulan gizli klasörüne kopyalama özelliğine sahip. Bu örneklerin keşfi, en azından bazı teknik bilgili saldırganlar için PlugX'in hala gelişmekte olduğunu ve aktif bir tehdit olmaya devam ettiğini gösteriyor.
PlugX kötü amaçlı yazılımı on yılı aşkın bir süredir ortalıkta dolaşıyor ve geçmişte genellikle Çinli APT gruplarıyla ilişkilendiriliyordu. Yıllar boyunca, ulus devletlerden fidye yazılımı aktörlerine kadar diğer saldırgan grupları bu kötü amaçlı yazılımı benimsedi ve dağıttı.
soruşturmanın bulguları
- Bu PlugX varyantı kurtlanabilir ve USB aygıtlarına Windows dosya sisteminden gizlenecek şekilde bulaşır. Bir kullanıcı, USB aygıtına virüs bulaştığını ve ağdan veri sızdırmak için kullanılabileceğini bilmez.
- Bu saldırıda kullanılan PlugX kötü amaçlı yazılım varyantı, disket, başparmak veya flash sürücüler gibi bağlı USB çıkarılabilir medya aygıtlarının yanı sıra USB aygıtının daha sonra bağlanacağı tüm ek sistemleri etkiler.
- Unit 42, VirusTotal'da USB aygıtlarını etkileyen ve ana bilgisayardan tüm Adobe PDF ve Microsoft Word dosyalarını kopyalayan benzer bir PlugX varyantı saptadı. Bu kopyalar, kötü amaçlı yazılım tarafından oluşturulan USB aygıtındaki gizli bir klasöre yerleştirilir.
- PlugX, yalnızca bazı Çin kökenli gruplar tarafından değil, birkaç siber suç grubu tarafından da kullanılan ikinci aşama bir implanttır. On yılı aşkın bir süredir ortalıkta dolaşıyor ve ABD hükümetinin 2015 yılında Personel Yönetimi Ofisi'ne (OPM) sızması da dahil olmak üzere bazı yüksek profilli siber saldırılarda gözlemlendi.
- PlugX kötü amaçlı yazılımının bu varyantının bulaştığı herhangi bir ana bilgisayar, bulaştırmak için sürekli olarak yeni çıkarılabilir USB sürücüleri arar. Bu PlugX kötü amaçlı yazılımı, kötü amaçlı dosyaların yalnızca bir *nix işletim sisteminde veya USB cihazını bir adli tıp aracına takarak görüntülenebilmesini sağlayan yeni bir teknik kullanarak bir USB cihazındaki saldırgan dosyalarını da gizler. Bu tespitten kaçma yeteneği, PlugX kötü amaçlı yazılımının daha fazla yayılmasına ve gizlice dinlenen ağlara potansiyel olarak sızmasına olanak tanır.
- Bu vakada kullanılan Brute Ratel C4, daha önce Trend Micro tarafından bildirilen ve Black Basta fidye yazılımı grubunu da etkileyen aynı Badger yüküdür (implant).
Palo Alto Ağları Hakkında Siber güvenlik çözümlerinde dünya lideri olan Palo Alto Networks, insanların ve işletmelerin çalışma şeklini değiştiren teknolojilerle bulut tabanlı geleceği şekillendiriyor. Misyonumuz, tercih edilen siber güvenlik ortağı olmak ve dijital yaşam biçimimizi korumaktır. Yapay zeka, analitik, otomasyon ve orkestrasyondaki en son atılımlardan yararlanan sürekli yenilikle dünyanın en büyük güvenlik sorunlarını çözmenize yardımcı oluyoruz. Entegre bir platform sunarak ve büyüyen bir iş ortağı ekosistemini güçlendirerek, bulutlar, ağlar ve mobil cihazlar genelinde on binlerce işletmeyi korumada lideriz. Vizyonumuz, her günün bir öncekinden daha güvenli olduğu bir dünyadır.