Hükümet organları, finans kurumları ve sanayi sektörleri de dahil olmak üzere Rusya genelinde büyük kuruluşları hedefleyen sofistike bir arka kapı ortaya çıkmıştır.
VIPnet için meşru güncellemeler kisvesi altında dağıtılan bu kötü amaçlı yazılım, güvenli ağlar oluşturmak için yaygın olarak kullanılan bir yazılım paketi, etkilenen varlıklar için önemli bir tehdit oluşturmaktadır.
Bu siber olayla ilgili devam eden araştırmamız, risk altındaki kuruluşların bu sinsi saldırıya karşı savunmalarını desteklemesine yardımcı olmak için ön bulguların paylaşılmasının aciliyetinin altını çiziyor.
.png
)
Kötü amaçlı yazılımların dağıtım yöntemi, teknik yürütme ve potansiyel etki, ileri süren tehdit (APT) aktörleri tarafından titizlikle planlanan bir işlemi ortaya koymaktadır.
Sofistike arka kapı Rus organizasyonlarını hedefliyor
Saldırganlar, otantik yazılım güncellemelerinin yapısını taklit eden LZH arşivlerinde kötü niyetli yüklerini paketleyerek VIPnet güncellemelerini akıllıca taklit ettiler.
Bu arşivler tipik olarak dört temel bileşen içerir: Action.inf adlı bir yapılandırma dosyası, lumpdiag.exe adlı meşru bir yürütülebilir ürün, MSINFO32.exe olarak gizlenmiş kötü amaçlı bir yürütülebilir uygulanabilir ve çekirdek yükü değişen dosya adlarıyla barındıran şifreli bir dosya.
Rapora göre, Action.inf dosyası, VIPnet Güncelleme Hizmetine (ITCSRVUP64.exe) Lumpdiag.exe’yi belirli bir argümanla (–msconfig) yürütmesi için talimat verir.
Lumpdiag.exe’nin kendisi iyi huylu olsa da, bir yol ikamesi tekniğine karşı savunmasızdır, bu da saldırganların süreci kaçırmasını ve kötü amaçlı MSINFO32.exe’yi yürütmesini sağlar.
Bu yükleyici daha sonra TCP aracılığıyla bir komut ve kontrol (C2) sunucusuna bağlantı kurarak arka kapıyı belleğe çözer ve yükler.
Aktif olduktan sonra, arka kapı saldırganlara hassas verileri peçeleye vermeleri, ek kötü amaçlı bileşenler dağıtma ve tehlikeye giren sistemlere kalıcı erişimi sürdürmeleri için güç verir.
Kaspersky Solutions bu tehdidi heur olarak tanımladı: Trojan.win32.loloader.gen ve VIPnet geliştiricisi bazı kullanıcılara hedeflenen saldırıları doğruladı, yanıt olarak güvenlik güncellemeleri ve öneriler yayınladı.
Gelişen tehditlere karşı çok katmanlı savunma
Bu saldırının karmaşıklığı, rakiplerin güvenilir yazılım güncelleme mekanizmalarını yüksek değerli hedeflere sızmak için beklenmedik şekillerde kullandıkları Apt güdümlü siber saldırıların artan sofistike olmasını vurgulamaktadır.
Kötü amaçlı yazılımları rutin güncellemeler olarak gizleme yeteneği, bu tür tehditlere karşı koymak için sağlam, çok katmanlı güvenlik mimarilerinin ihtiyacının altını çizmektedir.
Kaspersky Next gibi ürünlerde uygulandığı gibi derinlemesine savunma stratejileri, işletmelerin benzer saldırıları tespit etmeleri ve azaltması için kritik öneme sahiptir.
Bu çözümler, hem bilinen hem de ortaya çıkan tehditlere karşı korunmak için gelişmiş uç nokta koruması, tehdit zekası ve proaktif izlemeyi entegre eder.
Kuruluşlardan güncelleme süreçlerini incelemeleri, yazılım yamalarının bütünlüğünü doğrulamaları ve yetkisiz erişimi önlemek için kapsamlı güvenlik önlemleri dağıtmaları istenir.
Eylem edilebilir içgörüler için, kötü amaçlı MSINFO32.exe ve kötü amaçlı yazılımların bulunduğu dosya yollarının belirli karmalarını içeren uzlaşma göstergeleri (IOC’ler).
Bu karmalar, 018AD336474B9E54E1BD0E9528CA4DB5, 28AC759E6662A4B4BE3E5BA7CFB62204’ü ve diğerlerini içerir, genellikle %temp %veya %programlarında geçici güncelleme klasörlerinde bulunan kötü niyetli dosyalar bulunur.
IOCS’nin tam listesine erişim, Kaspersky Tehdit İstihbarat Hizmetleri aracılığıyla kullanılabilir.
Bu tehdit gelişmeye devam ettikçe, kendilerini bu tür gizli ve zarar verici siber saldırılardan korumayı amaçlayan kuruluşlar için bilgilendirilmiş ve proaktif kalmak çok önemlidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!