Nisan 2025’teki bir siber güvenlik soruşturması sırasında hükümet, finans ve sanayi sektörlerinde çeşitli büyük Rus örgütlerini hedefleyen sofistike bir arka kapı ortaya çıktı.
VIPnet güvenli ağ yazılımı için meşru güncellemeler olarak maskelenen kötü amaçlı yazılım, saldırganların hassas verileri çalmasını ve tehlikeye atılan sistemlere ek kötü amaçlı bileşenler dağıtmasını sağlar.
Gelişmiş tehdit manzarası
Arka kapı özellikle Rusya’da güvenli ağlar oluşturmak için kullanılan popüler bir yazılım paketi olan VIPnet Networks’e bağlı bilgisayarları hedefliyor.
.png
)
Siber güvenlik uzmanları, kötü amaçlı yazılımların meşru ve kötü amaçlı dosyaların bir karışımını içeren meşru VIPnet güncellemelerini taklit edecek şekilde yapılandırılmış LZH arşivlerinde dağıtıldığını belirlemiştir.
Soruşturmaya aşina olan kıdemli bir siber güvenlik analisti, “Bu saldırı, güvenilir yazılım güncelleme mekanizmalarından yararlanan tehdit aktörlerinin artan karmaşıklığını gösteriyor” dedi.
Kötü niyetli arşivler birkaç bileşen içerir: bir eylem.
Saldırı bir yol ikame tekniğinden yararlanır – VIPnet güncelleme hizmeti arşivi işlerken, meşru dosyayı belirli parametrelerle yürütür, bu da kötü amaçlı MSINFO32.exe dosyasının yürütülmesini tetikler.
Etkin olduktan sonra, arka kapı TCP protokolleri aracılığıyla komut ve kontrol (C2) sunucuları ile bağlantılar kurar, bu da saldırganların enfekte bilgisayarlardan dosyaları dışarı atmasına ve ek kötü amaçlı bileşenler yürütmelerini sağlar.
Bu keşif, artan siber casusluk faaliyetlerinin ortasında geliyor. Son raporlar, bulut hizmetlerini ve kamu platformlarından komuta ve kontrol altyapısı olarak yararlanan sofistike teknikleri kullanarak devlet kuruluşlarını aktif olarak hedefleyen yeni gelişmiş Kalıcı Tehdit (APT) gruplarını belirlemiştir.
Siber saldırılar, kritik kurumlara karşı daha geniş kampanyalara bağlı olarak başka yerlerde benzer devlet destekli hackleme kalıpları gözlenmiştir.
VIPnet’in geliştiricisi, kullanıcılarına yönelik hedeflenen saldırıları doğruladı ve tehdidi azaltmak için güvenlik güncellemeleri ve öneriler yayınladı.
Siber güvenlik uzmanları, APT gruplarının taktiklerinin giderek karmaşıklaştıkça kuruluşların çok katmanlı savunma stratejileri uygulamaları gerektiğini vurgulamaktadır.
VIPNet Networking çözümlerini kullanan kuruluşlara şunlara şiddetle tavsiye edilir:
- Kurulumdan önce güncellemelerin gerçekliğini doğrulayın.
- Sıkı erişim kontrolleri uygulayın.
- Şüpheli faaliyetler için ağ trafiğini düzenli olarak izleyin.
- Güvenlik çözümlerinin heur gibi tehditleri algıladığından emin olun: Trojan.win32.loloader.gen.
Güvenlik araştırmacıları, bu ön bulguların paylaşılmasının, risk altındaki kuruluşların güvenli ağlara nüfuz etmek için güvenilir güncelleme mekanizmalarından yararlanan bu ortaya çıkan tehdide karşı hızlı koruyucu önlemler almasına yardımcı olacağına inanıyorlar.
Uzlaşma göstergeleri
SHA256 Hashes
018AD336474B9E54E1BD0E9528CA4DB5
28AC759E6662A4B4BE3E5BA7CFB62204
77DA0829858178CCFC2C0A5313E327C1
A5B31B22E41100EB9D0B9A27B9B2D8EF
E6DB606FA2B7E9D58340DF14F65664B8
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy