WhatsUp Gold’a yönelik RCE saldırıları, kötü amaçlı kodları çalıştırmak için Active Monitor PowerShell Script’ini istismar etti; 16 Ağustos’ta yamalanan CVE-2024-6670 ve CVE-2024-6671 güvenlik açıkları, uzaktan erişim araçlarını çalıştırmak ve kalıcılık kazanmak için kullanıldı.
Yamaların mevcut olmasına rağmen, birçok kuruluş bunları uygulamada yavaş davrandı ve bu da yaygın saldırılara yol açtı.
Saldırganlar, PowerShell betiklerini çalıştırmak ve kötü amaçlı yükleri indirmek için NmPoller.exe’yi kötüye kullandı.
Bu saldırıları azaltmak için kuruluşların sıkı erişim kontrolleri uygulaması, yamaları derhal uygulaması ve şüpheli işlem oluşturma olaylarını izlemesi gerekir.
Bir saldırgan, kötü amaçlı kodu çalıştırmak için WhatsUp Gold’un Active Monitor PowerShell Script işlevselliğindeki bir güvenlik açığından yararlandı; saldırıda kullanıcı oturum açma bilgileri atlatıldı ve şüpheli bir URL’den bir komut dosyası indirildi.
Komut dosyası daha sonra ek kötü amaçlı yazılımları (potansiyel olarak bir uzaktan erişim aracı) indirdi ve çalıştırdı. Tüm saldırı, tespit edilmekten kaçınmak için meşru süreçleri (NmPoller.exe ve PowerShell) kullandı.
Tehdit aktörü, PowerShell kullanarak hedef sisteme uzaktan yönetim araçları (RAT) yüklemeyi denedi ve msiexec.exe’yi kullanarak Atera Agent, Radmin, SimpleHelp Remote Access ve Splashtop Remote’u yükledi.
Atera Agent ve Splashtop Remote, MXDR ekibi tarafından hafifletilen ve daha fazla hasarın önüne geçen kötü amaçlı bir URL’den alınan tek bir MSI yükleyicisinden yüklendi.
Tehdit aktörü henüz tanımlanmasa da, birden fazla RAT’ın kullanılması potansiyel bir fidye yazılımının varlığına işaret ediyor.
WhatsUp Gold’da kritik güvenlik açıklarının (CVE-2024-4885 ve CVE-2024-4886) yakın zamanda ortaya çıkması, istismar girişimlerinde hızlı bir artışa yol açtı.
CVE-2024-4886 için bir PoC 30 Ağustos 2024’te yayınlandı ve Trend Micro, saatler içinde ilk başarılı istismarı gözlemledi; bu da tehdit aktörlerinin güvenlik açığı ortamını etkin bir şekilde izlediğini ve herkese açık PoC’den hızla yararlandığını gösteriyordu.
CVSS puanı 9,8 olan CVE-2024-4885 güvenlik açığı için çevrimiçi olarak 1.207 adet güvenlik açığının bulunması, istismar riskini azaltmak için güvenlik yamalarının derhal uygulanmasının aciliyetini daha da vurguluyor.
WhatsUp Gold saldırısı, kötü amaçlı kod çalıştırmak için bir kullanıcı kimlik doğrulama güvenlik açığından yararlandı.
Benzer saldırıları önlemek için en son yamayı uygulayın, yönetim konsoluna erişimi kısıtlayın, güçlü parolalar kullanın ve nmpoller.exe tarafından şüpheli işlem oluşturma olaylarını izleyin.
PowerShell betiklerini ve MSI paketlerini yürüten işlemlere odaklanın. Yama uygulanana kadar Active Monitor PowerShell Betiği işlevini askıya almayı düşünün.
Erişim kontrollerini sıkılaştırın ve ilgili tüm süreçleri yakından izleyin.
Yama yönetimi zorluklara rağmen önemini korumaktadır. PoC’ler olmasa bile hızlı yama uygulamaları ciddi güvenlik açıkları için olmazsa olmazdır.
Yama yapmanın ötesinde, erişim kontrolü, MFA, güçlü parolalar ve geçiş anahtarları hayati öneme sahip savunmalardır.