Çin destekli saldırganlar, birden fazla devlet destekli gruba bağlı gelişmiş bir arka kapı kötü amaçlı yazılımı olan ShadowPad’i dağıtmak için Microsoft Windows Server Güncelleme Hizmetleri’ndeki (WSUS) kritik bir güvenlik açığını silahlandırmaya başladı.
Saldırı zinciri, savunmasız sunuculara sistem düzeyinde erişim sağlayan bir uzaktan kod yürütme kusuru olan CVE-2025-59287’den yararlanıyor.
Kavram kanıtlama kodunun Ekim ayında kamuya açıklanmasından bu yana, tehdit aktörleri WSUS altyapısını çalıştıran kurumsal ağları tehlikeye atmak için bu güvenlik açığını hızla benimsedi.
Saldırı, bilgisayar korsanlarının ilk sistem erişimini sağlamak için CVE-2025-59287’yi kullanarak WSUS etkinleştirilmiş Windows Sunucularını hedef almasıyla başlar.
Saldırganlar içeri girdikten sonra, ele geçirilen sisteme doğrudan komut kabuğu erişimi sağlayan açık kaynaklı PowerShell tabanlı bir yardımcı program olan PowerCat’i dağıtır.
Bu ilk aşama dayanak noktası, saldırganların kötü amaçlı yazılım dağıtımı için gereken sonraki komutları yürütmesine olanak tanır.
ASEC güvenlik analistleri, saldırılarda kullanılan PowerCat yürütme komutlarını gözlemledikten sonra kötü amaçlı yazılımı tespit etti.
Araştırmacılar, tehdit aktörlerinin daha sonra certutil ve curl gibi yasal Windows yardımcı programlarını kullanarak ShadowPad’i nasıl indirip yüklediklerini belgeledi. Bu teknik, tespit edilmekten kaçınmaya yardımcı olur çünkü bu araçlar Windows sistemlerinin standart bileşenleridir.
6 Kasım’da ASEC’in altyapısı, saldırganların birden fazla kodlanmış dosyayı indirip bunların kodunu çözüp ShadowPad yükü olarak çalıştırdığını tespit etti.
DLL Yan Yüklemesi Yoluyla Kalıcılık
ShadowPad, DLL yan yükleme adı verilen akıllı bir kaçınma tekniğiyle çalışır. Kötü amaçlı yazılım, bağımsız bir yürütülebilir dosya olarak çalışmak yerine, aynı adı taşıyan kötü amaçlı bir DLL (ETDApix.dll) yükleyen meşru bir Windows uygulamasını (ETDCtrlHelper.exe) kullanıyor.
Meşru program çalıştığında, tamamen bellekte çalışan gerçek ShadowPad arka kapısı için yükleyici görevi gören, tehlikeye atılmış kitaplığı bilmeden yükler.
Temel kötü amaçlı yazılım işlevi, arka kapı yapılandırma verilerinin tamamını içeren geçici bir dosyada saklanır.
Kötü amaçlı yazılım, “Q-X64” tanımlayıcısıyla hizmetler, kayıt defteri girdileri ve zamanlanmış görevler oluşturarak kalıcılık sağlıyor. 163.61.102 adresindeki komuta ve kontrol sunucularıyla iletişim kurar.[.]H.245, standart Firefox tarayıcı başlıklarıyla trafiği gizlerken HTTP ve HTTPS protokollerini kullanıyor.
Kötü amaçlı yazılım kendisini Windows Mail, Media Player ve svchost hizmetleri de dahil olmak üzere birden fazla sistem işlemine enjekte edebilir.
WSUS çalıştıran kuruluşlar, Microsoft’un CVE-2025-59287 güvenlik güncelleştirmesini derhal uygulamalı ve olası güvenlik ihlali girişimlerini tespit etmek için sunucu günlüklerini şüpheli PowerShell, certutil ve curl yürütme kalıplarına karşı izlemelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
