ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Çin destekli APT41 gelişmiş kalıcı tehdit grubu tarafından bir saldırı zincirinde kullanıldığına dair kanıtlar ortaya çıktıktan sonra, 2018 yılına dayanan bir Microsoft güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
CVE-2018-0824 ilk olarak Microsoft tarafından Mayıs 2018 Salı Yaması güncellemesinde ele alındı. Serileştirilmiş nesneleri düzgün bir şekilde işlemedeki bir başarısızlıktan kaynaklanan Microsoft COM for Windows’daki bir uzaktan kod yürütme (RCE) kusurudur.
Bunu başarıyla kullanmak için, bir saldırganın risk altındaki son kullanıcıyı, eylemleri gerçekleştirmek için özel olarak hazırlanmış bir dosya veya betiği açıp çalıştırmaya ikna etmesi gerekir; bu, bir kimlik avı saldırısı yoluyla veya onları tehlikeye atılmış bir web sitesine çekerek gerçekleştirilebilir.
Microsoft, 2018’de bu güvenlik açığının ne kamuya açıklandığını ne de istismar edildiğinin bilindiğini ve bunun gerçekleşme riskinin nispeten düşük göründüğünü söyledi. Ancak, 1 Ağustos 2024’te Cisco’nun Talos tehdit araştırma birimi, saldırı zincirinde CVE-2018-0824’ü kullanan APT41 tarafından yürütülen kötü amaçlı bir kampanyanın kanıtlarını açıkladı.
Bu kampanyanın 2023 yılının ortalarında başladığı ve APT41’in ShadowPad kötü amaçlı yazılımını, Cobalt Strike’ı ve saldırı sonrası faaliyetler için diğer özel araçları teslim ettiği Tayvan’da bulunan hükümete bağlı bir araştırma enstitüsünü hedef aldığı anlaşılıyor.
Saldırının bir parçası olarak araştırmacılar ayrıca APT41’in UnmarshalPwn olarak adlandırılan ve CVE-2018-0824’ü doğrudan belleğe sömüren bir kavram kanıtı (PoC) kötü amaçlı yazılımını enjekte etmek için özel bir yükleyici oluşturduğunu keşfettiler. Bu şekilde kurbanın sistemlerindeki ayrıcalıklarını etkili bir şekilde yükseltebildiler.
Joey Chen, Ashley Shen ve Vitor Ventura’dan oluşan Talos ekibi, APT41’in aynı saldırı zincirini daha önce başkalarına karşı kullanmış olabileceğini söyledi.
“Bu kampanyada bulduğumuz eserlerle, aynı tehdit aktörleri tarafından farklı kampanyalarda kullanılmış olabilecek bazı örnekler ve altyapılar keşfettik” dediler.
“Şu anda bu kampanyalar hakkında daha fazla ayrıntıya sahip olmasak da, bu bilgileri ortaya çıkararak topluluğun noktaları birleştirmesini ve bu içgörüleri ek araştırmalar için kullanmasını sağlamayı umuyoruz.”
CISA’nın KEV kataloğu, esas olarak ABD federal hükümetinin kurumları arasında hızlı ve etkili yama uygulamasını sağlamak için tasarlanmış bir kaynaktır. Bu kurumlar, kılavuzunu belirli bir zaman dilimi içinde uygulamakla yasal olarak yükümlüdür; bu durumda 26 Ağustos 2024’e kadar, yani şu andan itibaren üç hafta sonra.
Ancak, listeye istismar edilen bir güvenlik açığının eklenmesi, tüm kuruluşların farkında olması ve kısa sürede ele alması gereken bir işarettir. Saldırı zinciri ve Tayvanlı kurbana karşı kullanılan araçların analizi hakkında daha fazla bilgi Cisco Talos’tan edinilebilir.