Microsoft kısa bir süre önce, tehdit aktörlerinin Windows Ortak Günlük Dosya Sisteminde (CLFS) yetkisiz ayrıcalıklar elde etmek için yararlandığı bir sıfır gün güvenlik açığını düzeltti.
Kaspersky SecureList’teki siber güvenlik analistleri, tehdit aktörlerinin Nokoyawa fidye yazılımı yüklerini dağıtmak için bu istismarı kullandığını doğruladı.
Microsoft, CVE-2023-28252’yi, Ortak Günlük Dosya Sistemini etkileyen ve yetkilerin yetkisiz olarak yükseltilmesine izin verebilecek bir güvenlik açığı belirledi ve atadı.
Microsoft, sorunu çözmek için hızlı bir şekilde harekete geçti ve 11 Nisan 2023’te “Salı Nisan Yaması” olarak bilinen en son güvenlik güncelleştirmeleri turunun bir parçası olarak bir yama yayınladı.
Aşağıda, bu güvenlik açığını keşfeden varlıkların adından bahsetmiştik: –
- Mandiant’tan Genwei Jiang
- DBAPPSecurity’nin WeBin Laboratuvarı’ndan Quan Jin
Sömürü
Bu, yerel bir saldırganın kullanıcıyla etkileşime girmeden basit bir saldırıda yararlanabileceği, Windows’ta düşük karmaşıklıkta bir güvenlik açığıdır. Bu, desteklenen tüm Windows sunucu ve istemci sürümlerini etkiler.
Tehdit aktörleri, hedeflenen Windows sisteminin tam denetimini ele geçirebilir ve başarılı bir istismarın ardından tam aşamada sistemi tehlikeye atabilir.
Bu ay Salı Yaması’nın yayınlanmasıyla, uzaktan kod yürütülmesine izin verebilecek 45 güvenlik açığı da dahil olmak üzere 97 güvenlik hatası giderildi.
Bu durumda, siber güvenlik analistleri, Nokoyawa fidye yazılımı operatörlerinin saldırılarında CVE-2023-28252 açığından aktif olarak yararlandıklarını belirlediler.
Nokoyawa fidye yazılımı çetesi, Haziran 2022’den bu yana çeşitli açıklardan yararlanarak Ortak Günlük Dosya Sistemi (CLFS) sürücüsünü hedeflemeye devam ediyor.
Bu istismarlar bazı benzerlikleri paylaşsa da, onları farklı kılan farklı özelliklere sahiptir.
Nokoyawa fidye yazılımı grubu, birden çok Ortak Günlük Dosya Sistemi (CLFS) istismarı kullanarak aktif olarak çeşitli sektör dikeylerini hedefliyor.
Saldırılarının çeşitli sektörlere ulaşmasıyla en az beş ek istismar kullandıkları bildirildi. Hedefleri aşağıdaki sektörleri içerirken:-
- Perakende
- Toptan
- Enerji
- Üretme
- Sağlık hizmeti
- Yazılım geliştirme
Microsoft, 2018’den beri Windows CLFS sürücüsünde 32 yerel ayrıcalık artırma güvenlik açığını yamaladı. Bunlar arasında, vahşi ortamda tehdit aktörleri tarafından sıfır gün olarak istismar edilen başlıca üç tanesinden burada bahsettik:-
Hızlı Evrim
Şubat 2022’de ortaya çıkışından bu yana Nokoyawa fidye yazılımı, 64 bit Windows tabanlı sistemler için ciddi bir tehdit olarak tanımlanıyor.
Çifte gasp taktikleriyle tanınan fidye yazılımı, bir kurbanın dosyalarını şifrelemek ve güvenliği ihlal edilmiş ağlardan ve sistemlerden hassas bilgileri çalmak için tasarlanmıştır.
Nokoyawa fidye yazılımının arkasındaki tehdit aktörleri daha sonra şifrelenmiş dosyalara tekrar erişim sağlamak ve çalınan verilerin kamuya açıklanmasını önlemek için bir fidye ödemesi talep ediyor.
Nokoyawa fidye yazılımının ilk sürümü C programlama dili kullanılarak geliştirildi. Şimdilik Nokoyawa, Rust’ta yeniden yazıldı ve şu anda aşağıdaki fidye yazılımıyla kod paylaştığı tespit edildi:-
Tehdit aktörleri, bu saldırıda daha önce kullanılan JSWorm kod tabanından birçok farklılığa sahip olan Nokoyawa’nın daha yeni bir sürümünü kullandı.
Siber suç grupları arasındaki karmaşıklık düzeyi son yıllarda önemli ölçüde arttı ve bu eğilimin devam etmesi bekleniyor.
Kuruluşlar neden Birleşik uç nokta yönetimine ihtiyaç duyar? –
İndirmek Ücretsiz E-kitaplar ve Teknik İncelemeler
İlgili Okuma: