Yönetişim ve Risk Yönetimi, Yama Yönetimi
Saldırganlar Windows’taki Kötü Amaçlı Yazılım Savunmalarından Kaçmak İçin Uygulama Yükleyiciyi Kullanıyor
Sayın Mihir (MihirBagwe) •
29 Aralık 2023
Microsoft, bilgisayar korsanlığı gruplarının kötü amaçlı yazılım yükleyicileri dağıtmak için bu aracı kullanmaya başlamasının ardından Windows uygulamalarının kurulumunu basitleştirmek için tasarlanmış bir aracı devre dışı bıraktı ve bu da arka kapılar ve fidye yazılımları içeren enfeksiyonlara yol açtı.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Söz konusu özellik, ms-appinstaller tek tip kaynak tanımlayıcı planı, başlangıçta Windows uygulamalarını cihazlara ekleme sürecini basitleştirmeyi amaçlıyordu. Microsoft’un güvenlik ekibinin perşembe günü bir blog yazısında belirttiğine göre, girişimci suçlu bilgisayar korsanları, kasım ayının ortasından bu yana, yükleyici kötü amaçlı yazılımları dağıtmak için bu aracı kullanıyor.
Saldırganların, hem popüler yazılımlara yönelik kötü amaçlı reklamları hem de kusurdan yararlanmak üzere tasarlanmış imzalı, kötü amaçlı MSIX uygulama paketlerini yaymak için Microsoft Teams kimlik avı mesajlarını kullanarak bu durumdan yararlandığını söylediler.
Araştırmacılar, “Bu etkinliğe yanıt olarak Microsoft, ms-appinstaller protokol işleyicisini varsayılan olarak devre dışı bıraktı” dedi.
Saldırganlar muhtemelen bunu tercih etti ms-appinstaller Araştırmacılar, bunu kullanmanın, Microsoft Defender SmartScreen gibi kötü amaçlı yazılımdan koruma güvenlik mekanizmalarını ve yürütülebilir dosyaların indirilmesiyle ilgili yerleşik tarayıcı uyarılarını atlatmalarını sağladığını söyledi.
Bir kırışıklık şu ki ms-appinstaller CVE-2021-43890 olarak izlenen bir Windows AppX yükleyici kimlik sahtekarlığı güvenlik açığı içerir. Güvenlik araştırmacısı Will Dormann söz konusu Microsoft, ilk olarak Aralık 2021’de güvenlik açığını hafifletti ve ardından görünüşe göre geçtiğimiz Nisan ayında düzeltmeyi devre dışı bırakarak saldırganların bu güvenlik açığından tekrar yararlanabilmesini sağladı.
Microsoft, yorum talebine hemen yanıt vermedi.
Teknoloji devi, o zamandan beri, Storm kod adını verdiği, kaynağı bilinmeyen saldırganlar da dahil olmak üzere, kusurdan yararlanan çok sayıda grubu takip etti. Microsoft ayrıca, Sangria Tempest olarak takip ettiği finansal motivasyonlu, diğer adıyla “fırtına” grubuna yönelik saldırıları da takip etti. Araştırmacılar, FIN7 olarak da bilinen bu uzun süredir faaliyet gösteren siber suç oynatıcısını daha önce Clop gibi fidye yazılımı gruplarıyla ilişkilendirmişti.
Microsoft’un güvenlik araştırmacıları, tüm saldırıların şunlara odaklandığını söyledi: ms-appinstaller Şu ana kadar tespit edilen virüsler, yükleyici kötü amaçlı yazılımları bir uç noktaya yüklemek ve daha fazla bulaşmayı kolaylaştırmak üzere tasarlandı. Takip ettiği belirli etkinlik grupları şunları içerir:
- Fırtına-0569: Microsoft, saldırıya uğramış uç noktalara ve sitelere erişimi başkalarına satan bu erişim aracısının, arama motoru optimizasyonu zehirlenmesi, kötü amaçlı reklamcılık ve kötü amaçlı indirme sitelerine yönlendiren bağlantılar içeren kimlik avı e-postaları yoluyla Batloader gibi uzlaşma sonrası yükleri indirmeye odaklandığını söyledi. “Gözlemlenen bir örnekte, Storm-0569’un Batloader’ı bir Cobalt Strike Beacon’u düşürdü ve ardından Rclone veri filtreleme araçlarını ve BlackBasta fidye yazılımı dağıtımını kullanarak veri sızıntısı gerçekleştirdi” dedi.
- Fırtına-1113: Microsoft, bu grubun hem arama reklamları aracılığıyla dağıtılan kötü amaçlı yazılımlar yoluyla oturum açma bilgilerini toplayan bir erişim aracısı hem de başkalarına kötü amaçlı yükleyiciler ve açılış sayfası çerçeveleri sağlayan bir hizmet olarak işlev gördüğünü söyledi. Grup tarafından kullanılan kötü amaçlı yazılımlar arasında Gozi, Redline Stealer, IcedID, Smoke Loader, NetSupport Manager, Sectop RAT ve Lumma Stealer yer alıyor.
- Fırtına-1674: Microsoft, Aralık ayının başından bu yana, bu erişim komisyoncusunun, tuş vuruşu kaydı, şifre hırsızlığı, kripto para madenciliği ve daha fazlasını kolaylaştırabilen DarkGate kötü amaçlı yazılımını dağıtmak için halka açık TeamsPhisher aracını kullandığını söyledi. Araştırmacılar, grubun OneDrive ve SharePoint gibi Microsoft hizmetleri için sıklıkla sahte açılış sayfaları kullandığını ve Eylül ayındaki önceki saldırılarda, grubun virüslü uç noktaları BlackBasta fidye yazılımı kullanan saldırganlara dağıttığını izlediklerini söyledi.
- Sangria Fırtınası: Microsoft, bu grubun, grubun 2014’ten beri kullandığı bir arka kapı ve yükleyici olan Carbanak’ı uç noktalara bulaştırmak için uygulama yükleyicisini kullandığını ve bunun karşılığında şifreleri, banka bilgilerini ve diğer verileri çalabilen GraceWire casus yazılımını yüklediğini söyledi.
Çünkü Microsoft devre dışı bıraktı ms-appinstaller protokol işleyicisi sayesinde, Windows yöneticileri artık Windows uygulamalarını bir sunucudan uç noktaya doğrudan yükleyemeyecektir. Bunun yerine yöneticilerin önce uç noktaya bir yazılım paketi indirmesi ve ardından uygulama yükleyicisini çalıştırması gerekir.
Microsoft ilk olarak Perşembe günü protokol işleyiciyi varsayılan olarak devre dışı bıraktığını bildirmiş olsa da, sıkıntılı kullanıcılardan gelen ve bunun “kurumsal kullanım üzerinde büyük bir etkisi” olduğunu söyleyen raporlara göre değişiklik muhtemelen bu ayın başlarında meydana geldi.