Kanıtlar, Küba fidye yazılımı çetesinin bir fidye yazılımı saldırısında Microsoft’un Windows Donanım Geliştirici Programı tarafından onaylanan kötü amaçlı donanım sürücüleri kullandığını gösteriyor.
2021’de ne zaman olduğunu hatırla, bir rapor ortaya çıktı Microsoft’un Netfilter adlı bir sürücüyü imzaladığını ve daha sonra bunun kötü amaçlı yazılım içerdiğini ortaya çıkaran? Yine oldu, ama daha büyük ölçekte.
Sophos X-Ops Rapid Response (RR) kısa bir süre önce, potansiyel olarak Küba fidye yazılımı çetesine ait olan tehdit aktörlerinin, bir fidye yazılımı saldırısında Microsoft’un Windows Donanım Geliştirici Programı tarafından onaylanan kötü amaçlı donanım sürücülerini kullandığını kanıtlayan kanıtlar keşfetti.
İşletim sistemlerinin ve uygulamaların donanım aygıtlarına erişmesine ve bunlarla iletişim kurmasına izin veren yazılımlar olan sürücüler, işletim sistemine ve verilerine yüksek düzeyde ayrıcalıklı erişim gerektirir; bu nedenle Windows, sürücülerin yüklenmesine izin vermeden önce onaylı bir kriptografik imza taşımasını gerektirir.
Ancak, siber suçlular uzun zamandan beri güvenlik açıklarından yararlanma yasal yazılım yayıncılarının mevcut Windows sürücülerinde bulunur. Bu bilgisayar korsanları, sürücülerini dijital olarak imzalamak için giderek daha fazla güvenilen kriptografik anahtarlar kullanarak güven piramidinde kademeli olarak yukarı çıkmak için çaba harcıyor.
Sofos gelen araştırmacılarla birlikte Google’a ait Mandiant ve SentinelOne, BurntCigar yükleyici yardımcı programının bir çeşidi kullanılarak hedeflenen makinelere yerleştirilen bu imzalı kötü amaçlı sürücüler hakkında Microsoft’u uyardı. Bu ikisi daha sonra ilişkili süreçleri öldürmek için birlikte çalıştı. antivirüs (AV) ve uç nokta algılama ve yanıt (EDR) ürünleri.
“Devam eden Microsoft Tehdit İstihbarat Merkezi analizi, imzalanmış kötü amaçlı sürücülerin büyük olasılıkla fidye yazılımı dağıtımı gibi istismar sonrası izinsiz giriş faaliyetlerini kolaylaştırmak için kullanıldığını gösteriyor.” bir danışmada dedi Salı Yaması olarak bilinen güvenlik yamalarının aylık planlanmış sürümünün bir parçası olarak yayınlandı.
Microsoft, “herhangi bir uzlaşma tespit edilmediğini” belirterek soruşturmasını sonuçlandırdı ve iş ortaklarının satıcı hesaplarını askıya aldı. Ayrıca, kötüye kullanılan sertifikaları iptal etmek için Windows güvenlik güncellemeleri yayınladılar.
Mandiant’ın raporu mevcut burada. SentinelOne’da Blog yazısıgüvenlik firması, bir tehdit aktörünün, genellikle Microsoft tarafından imzalanan bileşenlere güvenen güvenlik ürünlerinden kaçmak için kötü niyetli imzalı sürücüler kullandığı birkaç saldırı gördüğünü bildirdi.
Tehdit aktörlerinin iş sürecinde dış kaynak kullanımı (BPO), telekomünikasyon, eğlence, ulaşım, MSSP, finans ve kripto para sektörlerindeki kuruluşları ve bazı durumlarda, SIM takası nihai hedefti.
Cuba Ransomware grubunun dünya çapında 100 kuruluşa yönelik saldırılardan 60 milyon dolar kazanmaya karıştığı belirlendi. ortak danışmanlık bu ayın başlarında ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatından (CISA) ve FBI’dan.
Danışma belgesi ayrıca 2019’dan beri aktif olan ve finansal hizmetler, devlet tesisleri, sağlık ve halk sağlığı ve kritik üretim ve bilgi teknolojisi dahil olmak üzere kritik altyapılarda ABD kuruluşlarına saldırmaya devam eden fidye yazılımı grubuna ilişkin uyarıları da içeriyordu.
Tehdit aktörlerinin operasyonlarında Microsoft tarafından imzalanan sürücüleri ilk kez kullanmaları bildiğimiz kadarıyla bu uygulamaya son verilmesi gibi görünüyor. Microsoft için kolay bir iş olmadı.
Alakalı haberler
- Kötü Amaçlı Yazılım Saldırılarında Microsoft Office En Çok Yararlanan Yazılımlar
- BlueBleed İhlali Microsoft, 2,4 TB Müşteri Verisini Açığa Çıkardı
- Formbook kötü amaçlı yazılımını bırakmak için Microsoft güvenlik düzeltme eki atlandı
- Kullanımdan Kaldırılan Boa Yazılımı Güç Şebekelerini Hedef Almak İçin İstismar Edildi, Microsoft
- Saldırıya Uğramış Android Platformu Sertifikalarıyla İmzalanmış Kötü Amaçlı Yazılım Uygulamaları