Sikkerhetsforskere har nylig avdekket en ny inntrengningskjede knyttet til aktivitet rundt Termite-ransomware. Operasjonen baserer seg på sosial manipulering og legitime Windows-verktøy for å infiltrere nettverk. I stedet for å utnytte programvaresårbarheter manipulerer angripere ofrene til selv å kjøre ondsinnede kommandoer.
Kampanjen bruker en teknikk kjent som ClickFix. Metoden lurer brukere til å kjøre kommandoer som i det skjulte laster ned skadevarekomponenter. Når angriperne først får tilgang, distribuerer de flere verktøy som hjelper dem med å utforske nettverket og opprettholde vedvarende tilgang.
Forskere sier at aktiviteten viser hvordan ransomwaregrupper fortsetter å forbedre angrepsstrategiene sine. Moderne innbrudd utvikler seg ofte i flere faser før den endelige ransomware-payloaden distribueres.
Trusselgruppe bak aktiviteten
Etterforskere knyttet kampanjen til en trusselgruppe som spores under navnet Velvet Tempest. Sikkerhetsteam identifiserer også gruppen som DEV-0504. Aktørene har vært aktive i ransomware-økosystemet i flere år.
Forskere forbinder gruppen med flere kjente ransomwarefamilier. Tidligere kampanjer har vært knyttet til operasjoner relatert til Ryuk, Conti, LockBit, BlackCat og REvil. Gruppen fungerer ofte som en affiliate i større ransomware-nettverk.
Under den siste undersøkelsen observerte analytikere angriperne i et simulert bedriftsmiljø. Scenarioet representerte en stor organisasjon med tusenvis av brukere og endepunkter. Operatørene utførte såkalt hands-on-keyboard-aktivitet mens de kartla nettverket og identifiserte potensielle mål.
ClickFix brukt for å oppnå første tilgang
Inntrengningen startet med en malvertising-kampanje som leverte et ClickFix-lokkemiddel. Ofrene møtte en falsk CAPTCHA-melding mens de surfet på nettet. Siden viste instruksjoner som skulle løse et bekreftelsestrinn.
I stedet for å bekrefte en CAPTCHA ble brukerne bedt om å lime inn en kommando i Windows Run-dialogen. Da ofrene kjørte kommandoen, startet systemet en rekke skjulte operasjoner.
Kommandoene brukte innebygde Windows-verktøy. Disse verktøyene lastet ned filer og startet flere skript uten å utløse umiddelbare alarmer. Fordi aktiviteten bruker legitime systemverktøy, kan enkelte sikkerhetsløsninger ha vanskelig for å oppdage angrepet tidlig.
Skadevare distribuert via DonutLoader
Etter at angriperne fikk tilgang, distribuerte de flere payloads gjennom skriptbaserte kommandoer. PowerShell-kommandoer lastet ned komponenter og kompilerte .NET-payloads direkte på det kompromitterte systemet.
Et av stegene i angrepet introduserte DonutLoader, en loader som ofte brukes til å levere sekundær skadevare. Gjennom denne loaderen installerte angriperne CastleRAT-bakdøren.
CastleRAT gir fjernkontroll over infiserte systemer. Angripere kan kjøre kommandoer, samle informasjon og bevege seg lateralt gjennom nettverket. Denne tilgangen gjør det mulig for operatørene å utvide sin tilstedeværelse før et endelig angrep gjennomføres.
Forskere observerte også Python-baserte komponenter plassert i systemkataloger. Disse verktøyene bidro til å opprettholde vedvarende tilgang etter omstart av systemet.
Ransomware-fasen ble ikke observert
Under den overvåkede inntrengningen observerte forskerne ikke at Termite-ransomware faktisk ble distribuert. Infrastruktur og verktøy tyder likevel sterkt på forberedelser til et ransomwareangrep.
Trusselaktører bruker ofte lang tid inne i et nettverk før kryptering starter. De samler først inn legitimasjon, kartlegger interne systemer og identifiserer verdifulle data. Denne forberedelsen gjør det mulig å maksimere effekten av en senere ransomware-utrulling.
Termite-ransomware har allerede blitt knyttet til angrep mot flere organisasjoner. Kjente hendelser inkluderer brudd hos SaaS-leverandøren Blue Yonder og det australske fertilitetsselskapet Genea.
Sosial manipulering driver fortsatt angrep
ClickFix-metoden gjenspeiler en bredere endring i cyberkriminelle taktikker. Mange angripere er nå mer avhengige av sosial manipulering enn av tekniske sårbarheter.
Ved å overtale brukere til å kjøre kommandoer selv kan kriminelle omgå enkelte sikkerhetsbeskyttelser. Denne tilnærmingen reduserer også behovet for kompliserte sårbarhetsutnyttelser.
Forskere advarer om at lignende teknikker trolig vil dukke opp i fremtidige ransomwarekampanjer. Angripere fortsetter å forbedre sosial manipulasjon som fremstår legitim for ofrene.
Konklusjon
Undersøkelsen viser hvordan moderne ransomwarekampanjer utvikler seg gjennom flere lag med inntrengning. Aktiviteten knyttet til Termite-ransomware viser hvordan angripere kombinerer sosial manipulering med legitime systemverktøy.
ClickFix-teknikken gjør det mulig for kriminelle å få første tilgang uten å utnytte programvaresårbarheter. Når de først er inne i nettverket, distribuerer angriperne loaders, fjernstyringsverktøy og mekanismer for vedvarende tilgang.
Selv om det observerte angrepet stoppet før kryptering ble utført, tyder infrastrukturen på forberedelser til en full ransomwareoperasjon. Organisasjoner må være oppmerksomme på sosial manipulering som oppfordrer brukere til å kjøre ukjente kommandoer.
Økt sikkerhetsbevissthet og sterkere overvåking forblir viktige forsvar mot stadig mer avanserte ransomwaretrusler.
0 svar til “Termite-ransomware knyttes til ClickFix- og CastleRAT-angrep”