Anubis fidye yazılımı operasyonuyla ilişkili tehdit aktörlerinin, ilk erişimi elde etmek için Citrix Bleed 2 (CVE-2025-5777) güvenlik açığından yararlandıkları gözlemlendi.
Arctic Wolf bu hafta yayınlanan bir raporda, "Taktikler bağlı kuruluşlar arasında farklılık gösterse de, yasal Uzaktan Yönetim ve İzleme (RMM) araçlarının, kimlik bilgileri erişiminin ve yanal hareket için kullanılan klavye üzerinde uygulamalı prosedürlerin kullanımı yoluyla ticarette ortak modeller ortaya çıktı." dedi.
"Anubis bağlı kuruluşları, kurban sistemlerin kontrolünü sürdürürken normal BT faaliyetlerine uyum sağlamak için ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC ve Total Software Deployment gibi meşru uzaktan erişim ve yönetim araçlarını defalarca kötüye kullandı."
Gelecekte Ne Bekleniyor?
Anubis, ilk kez 2024'ün sonlarında Sphinx fidye yazılımının yeniden markası olarak ortaya çıkan bir hizmet olarak fidye yazılımı (RaaS) grubudur. Fidye yazılımı operasyonu, Şubat 2025'te Fidye Yazılımı ve Gelişmiş Kötü Amaçlı Yazılım Koruması (RAMP) yeraltı forumunda resmi olarak duyuruldu. Ransomware.Live verilerine göre, siber suç ekibi veri sızıntısı sitesinde 91 kurban olduğunu iddia etti; yalnızca Haziran 2026'da 11 kurban rapor edildi.
Teknik Analiz
Hedeflenen öne çıkan sektörlerden bazıları arasında sağlık hizmetleri, ticari hizmetler, üretim, teknoloji ve finansal hizmetler yer alıyor. Kurbanların yüzde 50'sinden fazlası ABD'de bulunuyor ve bunu İngiltere, Avustralya, Fransa ve Kanada takip ediyor.
Uzmanların Görüşleri
Rubrik Zero Labs, Temmuz 2025'te yayınlanan bir raporda, Anubis'in çekici kar paylaşımlarının reklamını yaptığını, bağlı kuruluşlara ödenen fidye tutarlarının %80'ini sunduğunu ve bunu, kurbanlar üzerindeki ödeme baskısını artıran geri dönüşü olmayan bir veri silme özelliğiyle eşleştirdiğini söyledi.
Rubrik, "Anubis'in /WIPEMODE modülü etkinleştirildiğinde dosyalar dizinlerde kalır ancak fidye ödemesine bakılmaksızın 0 KB boyutuna küçülür" dedi. "Tehdit aktörlerinin kurbanların ortamlarını tek bir komutla bu kavrulmuş toprak durumuna döndürebileceğini bilmek, silecek tam olarak etkinleştirilmeden önce kurbanların ödeme yapması yönündeki baskıyı önemli ölçüde artırıyor."
Önemli Gelişmeler
Bu yıl gözlemlenen fidye yazılımı saldırıları, hem geçerli VPN kimlik bilgileri kullanımını hem de Citrix NetScaler ADC ve Gateway'i etkileyen ve cihaz bir Ağ Geçidi veya AAA sanal sunucusu olarak yapılandırıldığında bir saldırganın kimlik doğrulamayı atlamak için kötüye kullanabileceği kritik bir kusur olan CVE-2025-5777'nin (CVSS puanı: 9,3) istismarını içeriyor.
Bu izinsiz girişlerde kullanılan VPN kimlik bilgilerinin tam kaynağı bilinmiyor. Ancak bunların önceden ele geçirilen bir güvenlik ihlalinin ardından veya ilk erişim aracıları (IAB'ler), kimlik bilgisi doldurma veya bilgi çalma faaliyeti yoluyla elde edilmiş olması da mümkündür.
Arctic Wolf, "CitrixBleed 2 istismarına ek olarak, AS20473 - The Constant Company ve AS55286 - ServerMania dahil olmak üzere çeşitli barındırma ASN'lerinde geçerli Cisco AnyConnect VPN oturum açma bilgileri gözlemlendi" dedi. "Kötü amaçlı VPN kimlik doğrulamasını daha sonra RDP ve SMB'yi içeren oturum açma etkinliği izledi; bu da kimlik bilgileri erişimine, PsExec hizmeti oluşturmaya, RMM dağıtımına ve sonuçta sızıntı için bulut aktarım araçlarının başlatılmasına yol açtı."
Yanal hareket, RDP ve PsExec aracılığıyla kolaylaştırılır; bu da kalıcı erişim için çeşitli yasal RMM araçlarının konuşlandırılmasına yol açarak saldırganlara radar altında kalarak dosya aktarma ve uzaktan kod yürütme yeteneği kazandırır. Belirli izinsiz girişler ayrıca kurban ortamlarına tüneller oluşturmak için bir Cloudflare Tüneli (diğer adıyla cloudflared) yapılandırır.
Saldırıların bir sonraki aşaması, güvenliği ihlal edilmiş ortama daha derin erişimi kolaylaştırmak için kimlik bilgilerinin toplanmasını içerir; ardından fidye yazılımı dağıtımından önce veri aktarımı veya sızma için S3 Tarayıcı, rclone, s5cmd, WinSCP ve PuTTY gibi araçlar yüklenir. Buna paralel olarak sistem savunmasını zayıflatacak ve olay sonrası analizi karmaşıklaştıracak adımlar atılıyor.
Siber güvenlik şirketi, "Bu teknikler arasında Windows Defender gerçek zamanlı korumanın devre dışı bırakılması, SophosUninstall etkinliği, PCHunter ile ilgili yapılar ve birden fazla sistemdeki günlük temizleme veya manipülasyon yer alıyordu" dedi. "En az bir izinsiz girişte, bir Anubis şifreleyicisi yürütme sonrasında silindi ve bu da daha sonraki analizler için diskteki veri yükü yapılarının kullanılabilirliğini azalttı."
Detaylar ve Etkileri
Beylerin Arka Kapıya Gitmesi ve BYOVD'nin 0 Günlük Suistimali
Açıklama, Kaspersky'nin Gentlemen RaaS grubunun hedefleri ihlal etmek için bilinen güvenlik açıklarından ve çalıntı veya zayıf oturum açma kimlik bilgilerinden yararlanmasını ve keşif sonrasında uzaktan komut yürütmeyi, Grup Politikası veya PsExec aracılığıyla yanal hareketi ve br kullanarak savunmadan kaçmayı mümkün kılmak için Go tabanlı bir arka kapı kullanmasını ayrıntılarıyla anlatmasıyla geldi. kendi savunmasız sürücü (BYOVD) tekniğinizi kullanmak.
Sistem Güvenliği
İmplant, sistem bilgilerini toplamak, bunu çift yönlü bir TCP bağlantısı üzerinden harici bir sunucuya ("81.177.215[.]15:9443") sızdırmak ve daha sonra yanıt baytı "c" ise "cmd.exe" kullanılarak ana bilgisayarda yürütülen operatör yanıtlarını beklemek üzere tasarlanmıştır. Bayt "s" ise SOCKS proxy bağlantısı kurulur.
Sonuç ve Değerlendirme
Kaspersky, "Bu işlevsellik muhtemelen The Gentlemen'in kırmızı ekibinin hedef ağ içinde hareket etmesine ve tarama kapsamını genişletmesine olanak tanıyor" dedi. "Arka kapı implantının iki yönlü iletişim kurma, komutları yürütme, SOCKS proxy'si kurma ve bilgi toplama gibi yetenekleri göz önüne alındığında, gerektiğinde saldırı zincirini genişletmek için de kullanılabileceği açıktır."
Nasıl Önlem Alınmalı?
Expel'e göre RaaS grubu, çekirdek düzeyinde erişim elde etmek, Windows güvenlik korumalarını atlamak ve Microsoft, ESET, Palo Alto Networks ve SentinelOne ile ilişkili korumalı güvenlik süreçlerini sonlandırmak için BYOVD cephaneliğinin bir parçası olarak az bilinen bir üçüncü taraf satıcı sürücüsündeki sıfır gün güvenlik açığını da silah haline getirdi. Söz konusu sürücü, Kontron tarafından geliştirilen bir API'nin parçası olan ktapi.sys'dir.
Expel'in baş tehdit araştırmacısı Marcus Hutchins, "Tehdit aktörlerinin dosyayı nasıl ele geçirdiği veya dosyanın güvenlik açığı hakkında nasıl bilgi sahibi olduğu hala belirsiz" dedi. "BYOVD, saldırganların en son teknolojiye sahip uç nokta güvenlik sistemlerini saniyeler içinde devre dışı bırakmasına olanak tanıyarak kuruluşlar için büyük bir tehdit olmaya devam ediyor. Tüm açıklardan yararlanma önlemleri etkinleştirilmiş en son Windows sürümünü kullanmak bile tam koruma sağlamaz."
VECT ve TeamPCP'nin Fidye Yazılımı Ortaklığı
Bulgular aynı zamanda Sophos Karşı Tehdit Birimi'nin, tedarik zinciri saldırısına dayalı kimlik bilgisi hırsızlığını fidye yazılımı dağıtımıyla birleştirmek için Mart 2026'da duyurulan VECT ile TeamPCP arasındaki ortaklığa ilişkin yaptığı soruşturmanın ardından geldi.
The Hacker News ile paylaşılan bir raporda Sophos, "TeamPCP ve VECT arasındaki resmi ortaklık, VECT'in Trivy ve LiteLLM tedarik zinciri saldırılarında tehlikeye giren tüm kuruluşlara fidye yazılımı dağıtmasına olanak tanıyor" dedi. "VECT ortaklığından önce TeamPCP, CipherForce markası altında başka bir fidye yazılımı operasyonu yürütüyordu. CipherForce, Şubat 2026'da sızıntı sitesinde altı kurbanı listeledi ve Mayıs ayında TeamPCP sızıntı sitesi olarak yeniden markalandı."
Check Point ve JUMPSEC tarafından yapılan son analizler, VECT'in 128 KB'den büyük herhangi bir dosyanın şifrelenmek yerine kalıcı olarak yok edilmesine neden olan uygulama kusurları içerdiğini ortaya çıkardı ve bu da TeamPCP'nin saldırılarda VECT şifreleyicisini hiç kullanmadığını belirten bir açıklama yayınlamasına neden oldu. Grup, "Kendi özel dolabımız olan CipherForce'a sahibiz" dedi.
Sophos, "VECT/TeamPCP ittifakı, fidye yazılımı tehdit ortamında anlamlı bir değişimi temsil ediyor, hatta operasyonel etkinliğini zayıflatan teknik eksiklikleri de hesaba katıyor." dedi.
"Büyük ölçekli tedarik zinciri kimlik bilgileri hırsızlığının, olgunlaşan bir RaaS operasyonunun ve kitlesel yer altı forum seferberliğinin birleşmesi, siber suçlara giriş engelini önemli ölçüde azaltan, benzeri görülmemiş bir endüstriyel fidye yazılımı dağıtımı modeli oluşturuyor."
Geçtiğimiz birkaç ay boyunca TeamPCP, hassas verileri ayıklamak ve kötü amaçlı yazılımı solucan benzeri bir şekilde diğer kütüphanelere yaymak amacıyla kurumsal geliştirme hatlarına entegre edilmiş yaygın olarak kullanılan paketlere ve araçlara kötü amaçlı kod enjekte ederek açık kaynaklı ekosistemleri hedef alan bir dizi büyük ölçekli yazılım tedarik zinciri saldırısıyla ilişkilendirildi.
ABD Federal Soruşturma Bürosu (FBI) Perşembe günü yayınlanan flaş uyarısında, "TeamPCP ayrıca kurban adlarını kamuya açık bir sızıntı sitesinde yayınlamak ve çalınan verilerin ifşa edilmesiyle tehdit etmek de dahil olmak üzere diğer tehdit aktörü gruplarından siber aktörlerle gasp ve işbirliğine girişti." dedi.
"Bu kampanyadan etkilenen kuruluşlar, sızdırılan verileri ve kimlik bilgilerini kalıcı bir risk olarak ele almalıdır; çünkü bağlı tehdit aktörleri, ilk riskten çok sonra bunları silah haline getirebilir."