Bilgisayar korsanları, yaygın kullanımı ve popülerliği nedeniyle 7ZIP’i hedef alıyor ve bu da onu kötü amaçlı yazılım yaymak için kazançlı bir vektör haline getiriyor.
7ZIP’teki güvenlik açıklarından yararlanılması, çok sayıda sistemin tehlikeye atılmasına olanak tanıyarak, potansiyel olarak yetkisiz erişime veya veri hırsızlığına yol açabilir.
QiAnXin Tehdit İstihbarat Merkezi’ndeki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının Microsoft App Store aracılığıyla kötü amaçlı yazılım dağıtmak veya yaymak için aktif olarak 7ZIP’i hedeflediklerini keşfetti.
QiAnXin, WindowsPackageManagerServer’ın benzersiz bir uç nokta değişikliğiyle Lumma Stealer’ı tetiklediğini buldu.
Soruşturma, Microsoft App Store’da yasal 7ZIP olmayan sahte bir Rus 7Zip’i ortaya çıkardı ve kötü amaçlı paketler “7z” aramalarında ortaya çıktı.
Microsoft App Store’da Kötü Amaçlı 7ZIP
Microsoft, araştırmacıların bildirmesinin ardından kötü amaçlı yazılımları App Store’dan hızla kaldırdı. UTG-Q-003 adlı sahte paket, Ocak 2023’te ortaya çıkışından bu yana neredeyse bir yıl boyunca fark edilmedi.
Dahili olarak olayın ayrıntıları açıklandı ve IOC’ler halka açık olarak paylaşıldı. Saldırganların paketi nasıl yükledikleri bilinmiyor. QiAnXin’in veri platformuna göre 7z-soft yazılımı ilk olarak 17 Mart 2023’te indirildi.
Açık kaynaklı bir proje olan JPHP, PHP kodunu çalıştırmak için Java’yı kullanarak tespitten etkili bir şekilde kaçınır. Saldırganlar uzak bir sunucudan yükleri almak için JPHP kütüphanesindeki “jurl” fonksiyonunu kullandı.
Saldırganlar, uzun süreli saldırıdan kaçınmak için C2 sunucularındaki yükleri değiştirmeye devam etti. Aşağıdaki dosya türlerini çalmak amacıyla günlük olarak farklı MD5 karma değerlerine sahip 2 ila 3 soft.exe dosyası talep edildi: –
- txt
- doktor
- rdp
- anahtar
- cüzdan
- tohum
- bağlantı
Bunun yanı sıra, kötü amaçlı yazılım şunları içeriyordu: –
- Kırmızı cizgi
- Lumma Hırsızı
- Hazır
7z-soft.exe’nin birden fazla indirme yöntemi vardı ve URL’lere artık erişilemiyor. Geçmiş veriler aşağıdakilerden bir bağlantı gösterir: –
- “deputadojoaodaniel.com.br”
- “cdn.discordapp.com”
Her iki alan adı da WordPress siteleriydi, bu da UTG-Q-003’ün yükleri depolamak ve web sayfalarını yönlendirmek için WordPress’i istila ettiğini gösteriyor.
Saldırganlar Cloudflare DDoS korumasını simüle ederek kurbanları “brolink2s.site”ye yönlendiren sahte bir doğrulama iletişim kutusuyla kandırırlar. “İzin ver” tıklandığında bir JavaScript komut dosyası, siteyi Chrome’un anlık bildirim listesine ekleyerek platformlar arası bildirimleri etkinleştirir.
Tarayıcının kapanmasına rağmen Windows bildirimleri hâlâ bağlantılar sunabiliyor. Ekim ayından bu yana film ve yazılım sitelerini kapsayan 10 alan adı “browserneedupdate.com”a yönlendirildi. İlk kimlik avı e-postaları, e-posta ağ geçidi tespitinden kaçarak mesaj bildirimlerinin etkinleştirilmesini ister.
Alanlar Algılandı
Aşağıda, tespit edilen tüm alan adlarından bahsettik: –
- analitik perakende satış[.]iletişim
- yaratıcı bilimler[.]iletişim
- www[.]50kmfilm[.]iletişim
- sülük[.]yazılım
- altyazı sunucusu[.]açık
- www[.]M.Ö.[.]kr
- yukarı[.]tepe
- FM’ler[.]açık[.]br
- yalınbiyom-yağsızbiyom[.]iletişim
- Zuripvp[.]teşekkürler
- yaratıcı bilimler[.]iletişim
İkinci aşamada, özelleştirilmiş kimlik avı bağlantıları hedef ana bilgisayarın platformunu kullanır. UTG-Q-003, JPHP çerçeve tabanlı kurulum paketleri sunar. Microsoft App Store’daki indirmeler büyük olasılıkla WinRAR güvenlik açığıyla bağlantılı olarak arttı.
CVE-2023-38831’in ifşa edilmesinin ardından Doğu Asyalı APT grupları Çin’de kimlik avı saldırıları başlattı. SEO manipülasyonu ve resmi sitelerde 7zip bulma zorluğu, kullanıcıları Microsoft App Store’a iterek uzlaşmaya yol açıyor.
Rus paketi Çinli kullanıcılardan, Çin’in yazılım indirme zorluklarını vurgulayan olumsuz yorumlar alıyor. Üstelik saldırgan alan adları Rusya ve Ukrayna’ya bağlanıyor ve özellikle Rusça konuşulan bölgelerde atıf yapılması engelleniyor.