Microsoft, 13 Aralık’ta yayınlanan bir danışma belgesinde “Microsoft İş Ortağı Merkezi için birkaç geliştirici hesabı, Microsoft imzası almak için kötü amaçlı sürücüler göndermekle meşguldü.” Ekim ayı başlarında satıcıların hesaplarının askıya alınmasına yol açtı.”
Kod imzalama, yazılım ve işletim sistemi arasında bir güven düzeyi sağlamak için kullanılır; bu nedenle, yasal olarak imzalanmış sürücüler, normal yazılım güvenlik kontrollerini geçerek siber suçluların kurumsal bir ağ üzerinden cihazdan cihaza yatay geçiş yapmasına yardımcı olabilir.
SIM Değiştirme, Fidye Yazılım Saldırıları
Bilgi işlem devi, bu durumda, sürücülerin muhtemelen fidye yazılımı dağıtmak da dahil olmak üzere çeşitli sömürü sonrası faaliyetlerde kullanıldığını kabul etti. Ve Ekim ayında Sophos ile birlikte Microsoft’u bu sorunla ilgili olarak uyaran Mandiant ve SentinelOne, sürücülerin belirli kampanyalarda kullanımlarını ayrıntılı olarak açıkladı.
Yine 13 Aralık’ta yayınlanan bulgularına göre, sürücüler UNC3944 olarak bilinen tehdit aktörü tarafından “telekomünikasyona aktif izinsiz girişlerde, BPO’da” kullanıldı. [business process optimization]MSSP [managed security service provider]ve finansal hizmetler işletmeleri”, çeşitli sonuçlara yol açar.
Mandiant araştırmacılarına göre UNC3844, Mayıs ayından bu yana aktif olan ve genellikle SMS operasyonlarından kimlik avı kimlik bilgileriyle hedeflere ilk erişim sağlayan, mali amaçlı bir tehdit grubudur.
Mandiant, 13 Aralık tarihli ayrı bir blog gönderisinde, “Bazı durumlarda, grubun uzlaşma sonrası hedefleri, muhtemelen kurban ortamlarının dışında meydana gelen ikincil suç operasyonlarını desteklemek için SIM takas saldırılarını etkinleştirmek için kullanılan kimlik bilgilerine veya sistemlere erişmeye odaklandı.” konuyla ilgili.
Bu hedeflere hizmet etmek üzere, grubun antivirüs ve EDR işlemlerini sonlandırmak için tasarlanmış bir araç setinin parçası olarak Microsoft imzalı sürücüleri kullandığı gözlemlendi. Bu araç seti iki parçadan oluşur: Kötü amaçlı bir sürücü oluşturup yükleyerek işlemleri sonlandıran bir Windows kullanıcı alanı yardımcı programı olan Stonestop ve işlem sonlandırma işlemini başlatmak için Stonestop kullanan kötü amaçlı bir Windows sürücüsü olan Poortry.
SentinelLabs ayrıca aynı sürücüyü kullanan ayrı bir tehdit aktörü gözlemledi, “bu, Hive fidye yazılımının tıp endüstrisindeki bir hedefe karşı konuşlandırılmasıyla sonuçlandı ve bu tekniğin benzer araçlara erişimi olan çeşitli aktörler tarafından daha geniş bir şekilde kullanıldığını gösteriyor.”
Tehditle mücadele etmek için Microsoft, etkilenen dosyalar için sertifikayı iptal eden ve ortakların satıcı hesaplarını askıya alan Windows Güvenlik Güncelleştirmeleri yayımladı.
Şirket ayrıca, danışma belgesinde “Ayrıca Microsoft, müşterilerin kötüye kullanım sonrası faaliyetlerde kötü amaçlarla kullanılan yasal olarak imzalanmış sürücülerden korunmasına yardımcı olmak için engelleme algılamaları (Microsoft Defender 1.377.987.0 ve daha yenisi) uygulamıştır.”