Siber güvenlik araştırmacıları, yeni bir kötü amaçlı yazılımın ayrıntılarını açıkladılar. Mdifyloader Bu, Ivanti Connect Secure (ICS) cihazlarındaki güvenlik kusurlarından yararlanan siber saldırılarla birlikte gözlemlenmiştir.
JPCERT/CC Today tarafından yayınlanan bir rapora göre, Aralık 2024 ile Temmuz 2025 arasında gözlenen cVE-2025-0282 ve CVE-2025-22457’nin sömürülmesinin arkasındaki tehdit aktörleri, daha sonra kobalt grevini başlatmak için kullanılan MDifyloader’ı bırakmak için güvenlik açıklarını silahlandırdı.
CVE-2025-0282, ICS’de kimlik doğrulanmamış uzaktan kod yürütülmesine izin verebilecek kritik bir güvenlik kusurudur. Ocak 2025’in başlarında Ivanti tarafından ele alındı. Nisan 2025’te yamalı CVE-2025-22457, keyfi kod yürütmek için kullanılabilecek yığın tabanlı bir tampon taşması ile ilgilidir.
Her iki güvenlik açıkları da vahşi doğada sıfır gün olarak silahlandırılmış olsa da, Nisan ayında JPCERT/CC’den önceki bulgular, iki sorunun ilkinin Spawnchimera ve DSLogdrat gibi kötü amaçlı aileler sunmak için istismar edildiğini ortaya koydu.
ICS güvenlik açıklarını içeren saldırıların en son analizi, kodlanmış bir kobalt grev işaret yükü içeren MDifyloader’ı piyasaya sürmek için DLL yan yükleme tekniklerinin kullanımını ortaya çıkarmıştır. Beacon, Aralık 2021’de piyasaya sürülen 4.5 sürüm olarak tanımlandı.
JPCert/CC araştırmacısı Yuma Masubuchi, “MDifyLoader, açık kaynaklı proje libpeconv’a dayanarak oluşturulan bir yükleyicidir.” Dedi. “MDifyLoader daha sonra şifreli bir veri dosyası yükler, Kobalt Strike Beacon’u kodlar ve hafızaya çalıştırır.”
Ayrıca, VShell adlı GO tabanlı bir uzaktan erişim aracı ve FSCAN adlı Go’da yazılmış başka bir açık kaynaklı ağ tarama yardımcı programıdır. Her iki programın da son aylarda çeşitli Çin hack grupları tarafından benimsendiğini belirtmek gerekir.
 |
| FSCAN’ın yürütme akışı |
FSCAN’ın, DLL yan yükleme kullanılarak başlatılan bir yükleyici aracılığıyla yürütüldüğü bulunmuştur. Rogue DLL yükleyici, FilessRemotepe açık kaynaklı araç temeldir.
JPCert/CC, “Kullanılmış VShell’in sistem dilinin Çince olarak ayarlanıp ayarlanmadığını kontrol etme işlevi var.” Dedi. Diyerek şöyle devam etti: “Saldırganlar tekrar tekrar Vshell’i yürütemedi ve her yeni bir versiyon yüklediklerinde ve tekrar yürütme girişiminde bulundukları doğrulandı. Bu davranış, muhtemelen dahili test için tasarlanan dil kontrol işlevinin konuşlandırma sırasında etkinleştirildiğini gösteriyor.”
Dahili ağa bir dayanak kazandıktan sonra, saldırganların FTP, MS-SQL ve SSH sunucularına karşı kaba kuvvet saldırıları gerçekleştirdikleri ve kimlik bilgilerini çıkarmak ve ağ boyunca yanal olarak hareket etmek için EternalBlue SMB istismarını (MS17-010) kullandıkları söylenir.
Masubuchi, “Saldırganlar yeni etki alanı hesapları oluşturdu ve mevcut gruplara ekledi ve daha önce edinilmiş kimlik bilgileri iptal edilmiş olsa bile erişimi korumalarına izin verdi.” Dedi.
Diyerek şöyle devam etti: “Bu hesaplar normal işlemlerle karışıyor ve dahili ağa uzun vadeli erişim sağlıyor. Ayrıca, saldırganlar kötü amaçlı yazılımlarını bir hizmet veya görev zamanlayıcısı olarak kaydetti ve sistem başlangıçta veya belirli olay tetikleyicilerinde çalışmasını sağlayacak.”