Bilgisayar korsanları, finansal kuruluşlara odaklanarak kötü amaçlı yükler dağıtmak için ConnectWise ScreAncect Uzaktan Yönetim ve İzleme (RMM) aracından yararlanmaya devam eder.
Bağımsız bir araştırmacı ilk olarak Screenconnect sürümlerinde 23.9.7’de ve ConnectWise Trust Center’ın güvenlik açığı açıklama programından önce potansiyel bir kritik güvenlik açığı bildirdi.
Finansal kuruluşları hedefleyen kötü amaçlı kampanyalar
Bu kusur o zamandan beri, siber geçirmez analistler ve tehdit avcıları tarafından gözlemlendiği gibi, özellikle Mayıs 2025’te tehdit aktörleri tarafından kaldırıldı.
.png
)
Muhtemelen UNC5952 tehdit grubuyla ilişkili Chainverb arka kapısına bağlı imzalı kötü niyetli damlalar kullanan bir saldırı dalgası belirlediler.
Bu saldırılar ağırlıklı olarak kullanıcıları zararlı yürütülebilir dosyaları indirmek için kandırmak için fatura temaları olan kimlik avı e -postalarını kullanır.
Komut ve kontrol (C2) altyapısında .top ve anondns.net gibi üst düzey alanların (TLD’ler) kullanımı, bu Ecrime kampanyalarının erişimini daha da artırarak kalıcı ve gelişen bir tehdit manzarasına işaret eder.
Chainverb arka kapısının teknik dökümü
Teknik inceliklere daha derinlemesine giren Chainverb indirici, siber suçluların cephaneliğinde sofistike bir aracı temsil eder.
Gizli C2 URL’lerini sertifikalar içine yerleştirmek için Windows yürütülebilir ürünlerdeki dijital imzalardan yararlanarak sonraki yüklerin indirilmesini ve yürütülmesini sağlayarak kullanır.
Kurulduktan sonra, genellikle Adobe Reader veya Zoom yükleyici gibi meşru yazılımları taklit eden aldatıcı dosya adları aracılığıyla, Chainverb, saldırgan kontrollü sunucularla uzak masaüstü oturumları oluşturmak için ConnectWise ScreAnconnect aracını dağıtır.
Bu erişim, dahili konakçı keşif ve ekran görüntüsü yakalamasını kolaylaştırarak, veri hırsızlığı ve daha fazla ağ uzlaşmasının önemli riskleri oluşturur.
Belirli örnekler arasında, “Russ@oshlaw.com” gibi gönderenlerden kimlik avı e -postaları, URL’lerle kötü niyetli PDF’ler sunmaktadır.
Telemetri verileri ayrıca C2 iletişimlerini Kasin22.anondns.net ve YertoJe.uzhelp.top gibi alan adlarına, Destek.Client (1) .exe adlı damlaları dağıtmak için kötü niyetli web sayfalarının yanı sıra.
ConnectWise, 28 Mayıs 2025’te bir ulus-devlet tehdit grubunun potansiyel bir ihlalini, şu anda Mantiant tarafından soruşturma altında tutar, ancak bu özel gözlemlere doğrudan bağlantılar incelenmektedir.
Rapora göre, kuruluşların güçlü tehdit avcılık uygulamaları benimsemeleri ve riskleri azaltmak için belirtilen yükseltme yollarının ardından, kimlik avı ve yetkisiz RMM yazılım kullanımına karşı CISA belirtilen savunmaların uygulanmasının yanı sıra yamalı versiyonlara (23.9.8 veya üst) yükseltme istenmektedir.
Bu tablo, kampanya ile ilişkili önemli IOC’lerin bir anlık görüntüsünü sunar ve savunuculara bu saldırılara bağlı kötü niyetli faaliyetleri belirlemeye ve engellemeye yardımcı olur.
Devam eden araştırmalardan devam eden uyanıklık ve güncellemeler bu tehdidi önlemek için kritik olacaktır.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| İhtisas | polarof.koyhelp.top |
| İhtisas | www.v4shelp.top |
| İhtisas | helpw8.top |
| İhtisas | Yertoje.uzhelp.top |
| İhtisas | web.bcqhelp.top |
| İhtisas | Web.mryhelp.top |
| Hash (MD5) | A01A80D8C1F665EDA5A81391A1ED0024 |
| Hash (MD5) | 180F9294E3E2418A460DEE6D9E40291A |
| E -posta gönderen | Russ@oshlaw.com |
| C2 Alanı | Kasin22.anondns.net |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.