Saldırganlar, siber casusluk ve askeri ve uyduyla ilgili endüstriyel tedarik zincirlerini aksatma amacıyla kötü amaçlı yazılımlar dağıtan, Tayvanlı drone üreticilerine yönelik son saldırı dalgasında Microsoft Word’ün “eski” bir sürümünü silah olarak kullanıyor.
Acronis Tehdit Araştırma Birimi’nden araştırmacılar, Microsoft Word kurulum sürecinde yaygın olarak kullanılan bir dinamik bağlantı kitaplığı (DLL) yan yükleme tekniğini kullanarak, enfekte olmuş sistemlere ClientEndPoint adı verilen kalıcı bir arka kapı kuran “WordDrone” adını verdikleri bir saldırı keşfettiler.
Acronis ekibi üyeleri, Tayvan’dan gelen bir müşteri bildirimini araştırdıklarında alışılmadık saldırı vektörünü keşfettiler ve “Microsoft Word’ün eski bir sürümünün garip davranan bir süreci hakkında” yazdılar. bir blog yazısı 10 Eylül’de yayınlandı.
“Sisteme üç dosya getirildi: Winword 2010’un meşru bir kopyası, imzalanmış bir wwlib.dll dosyası ve rastgele bir ad ve dosya uzantısına sahip bir dosya,” diye yazdılar gönderide. “Microsoft Word, şifrelenmiş dosyanın içinde rastgele bir adla bulunan gerçek yük için bir yükleyici görevi gören kötü amaçlı ‘wwlib’ DLL’sini yan yüklemek için kullanıldı.”
Sonunda bu yılın Nisan ve Temmuz ayları arasında birden fazla ortamda benzer iki aşamalı saldırı senaryoları buldular. Araştırmacılar, saldırıların ilk aşamasının Windows masaüstü makinelerine odaklandığını, ikinci aşamada ise saldırganların Windows sunucularına geçmeye çalıştığını söyledi.
“TIDrone” Kampanyasına Benzerlikler
Saldırı vektörünün bir saldırıyla ilişkili olup olmadığı belirsizdir. benzer siber olaylar dalgası Araştırmacıların bildirdiğine göre, “TIDrone” adlı bir tehdit aktörü tarafından Tayvanlı drone üreticilerine karşı Trend Micro’daDiğer Çince konuşan tehdit gruplarıyla bağlantılı olan bu aktör, kurumsal kaynak planlama (ERP) yazılımı veya özel kötü amaçlı yazılımları dağıtmak için uzak masaüstü araçları.
Araştırmacılar, WordDrone saldırısının da benzer şekilde bir ERP bileşenine sahip gibi göründüğünü söyledi. “Saldırganların ilk erişimi nasıl elde ettiğine dair kesin bir kanıt” bulamasalar da, saldırıdaki kötü amaçlı dosyaların ilk görünümü Digiwin adlı popüler bir Tayvanlı ERP yazılımının klasörünün içindeydi.
“Daha detaylı araştırma sonucunda, Digiwin’in birden fazla bileşeninin hedef ortamlarda dağıtıldığını bulduk,” diye yazdı araştırmacılar. Dahası, Digiwin’in bazı bileşenleri bilinen güvenlik açıkları içeriyordu: CVE-2024-40521CVSS puanı 8.8 olan uzaktan kod yürütme (RCE) açığı.
Araştırmacılar, “Toplanan tüm bilgilere dayanarak, söz konusu ERP yazılımının istismar edilmesi veya tedarik zinciri saldırısına uğraması ihtimalinin yüksek olduğuna inanıyoruz” dedi.
Yan Yükleme Kusurunu Hedefleme
Saldırı kaldıraçları yan yükleme zafiyeti Winword’ün eski bir sürümünde (v14.0.4762.1000) saldırganların Microsoft tarafından sağlanan orijinalle eşleşen bir DLL yüklemek için kullanmasına izin veriyordu.
Araştırmacılar, “Winword’ün bulunduğu dizinde yalnızca iki ek dosya görebiliyorduk: wwlib.dll adlı bir DLL. Bu normalde standart bir Microsoft Office kurulum paketinin bir parçasıdır ve bu sefer alışılmadık derecede küçük bir boyuta sahiptir. Ayrıca ‘gimaqkwo.iqq’ adlı şüpheli görünen başka bir dosya daha vardı.” şeklinde açıklama yaptı.
Daha detaylı inceleme sonucunda, wwlib kütüphanesinin aynı dizindeki şifrelenmiş “gimaqkwo.iqq” dosyasında saklanan ana yükü okumak amacıyla bir yükleyici olarak hareket ettiği ortaya çıktı. Yükün dosya adı — ClientEndPoint arka kapısı — yükleyicide şifrelenmiş bir biçimde saklanıyor.
Arka kapı, kullanıcı oturumlarını dinleme, saldırgan tarafından kontrol edilen komut ve kontrolden (C2) komut gönderme ve alma ve verileri dışarı sızdırıp C2’ye geri gönderme yeteneği de dahil olmak üzere bu tür kötü amaçlı yazılımlara özgü işlevlere sahiptir. Ayrıca, bir enfekte ana bilgisayarın yerel ağdaki başka bir enfekte ana bilgisayardan veri ve komutlar alabildiği ve bunlardan yalnızca birinin C2 ile doğrudan iletişimde olduğu bir proxy yapılandırma moduna sahiptir.
Neden Tayvanlı İHA Üreticilerini Hedef Alıyoruz?
Tayvanlı drone üreticilerine yönelik siber saldırıları iki ayrı güvenlik araştırma ekibinin araştırması, saldırganların hangi amaçla saldırdıkları sorusunu gündeme getiriyor ve Acronis ekibi de bu soruyu yanıtlamaya çalışıyor.
Araştırmacılar, Tayvan’da drone üretiminin 2022’den bu yana hükümetten önemli miktarda mali destekle önemli ölçüde arttığını belirtti. Şu anda alanda yaklaşık bir düzine Tayvanlı şirket var – genellikle orijinal ekipman üreticilerine (OEM’ler) bileşenler sağlıyorlar – ve ülkenin küresel havacılık endüstrisi dikkate alınıyor, dediler.
Araştırmacılar, Tayvan’ın insansız hava aracı üretimine yaptığı bu yatırımın ve önemli teknolojik becerilerinin yanı sıra, ABD’nin müttefiki olarak konumunun, “onları askeri casusluk veya tedarik zinciri saldırılarıyla ilgilenen rakipler için birincil hedef haline getirdiğini” gözlemlediler.
“Son on yılda drone sektörünün aşırı büyümesinin talihsiz bir yan etkisi de oldu; artık tüketici modelleri bile askeri amaçlarla kullanılıyor,” diye yazıldı gönderide.
Araştırma ekibi istihbaratlarını Tayvan’ın ilgili siber güvenlik yetkilileriyle paylaştı ve blog yazısına bir dizi tehlike göstergesi (IoC) ekledi. Her boyuttaki drone üreticisi WordDrone saldırıları tarafından hedef alınabileceğinden, savunmacılar özellikle ortamlarında mevcut olabilecek eski Microsoft Word sürümleriyle ilgili olarak şüpheli faaliyetlere karşı dikkatli olmalıdır. Araştırmacılar, özellikle sektördeki küçük işletmelerin dikkatli olması ve savunmalarını güçlendirmeleri gerektiğini, “geleneksel AV çözümleri artık yakın gelecekte karşılaşabilecekleri gelişmiş tehdit türlerine karşı etkili olmadığından” yazdı.