Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Kaspersky, Nisan ayında QakBot Operatörlerinin bu kusurdan yararlandığını tespit ettiğini açıkladı
David Perera (@daveperera) •
14 Mayıs 2024
Microsoft, güvenlik araştırmacılarının QakBot botnet operatörlerinin ve diğer bilgisayar korsanlarının aktif olarak istismar ettiğini söylediği Windows sıfır gün güvenlik açığı için Salı günü bir yama yayınladı.
Ayrıca bakınız: OnDemand I Siber Suçlular Tatilleri İzin Vermiyor
ABD yetkilileri ağustos ayında Qbot olarak da bilinen botnet’i çökertti ve gazetecilere, Duck Hunt Operasyonu adı verilen kötü amaçlı yazılım önleme kampanyasının bir sonucu olarak “çalışmasının durdurulduğunu” söyledi. Kötü amaçlı yazılım analistleri aylar içinde bir yeniden canlanma gözlemledi; bu, büyük Truva atlarının diğer operatörlerinin de altyapının kaldırılmasının ardından başardığı bir geri dönüş (bkz.: Qakbot’un Dirilişinin Daha Fazla İşareti).
Siber güvenlik firması Kaspersky’den araştırmacılar, Nisan ayı ortasında CVE-2024-30051 olarak izlenen Windows sıfır gününü kullanan Qakbot operatörlerini tespit ettiklerini söyledi. Ayrıcalık yükseltme kusuru CVSS ölçeğinde “önemli” olarak derecelendirildi. Kaspersky, telemetrinin birden fazla tehdit aktörünün bundan yararlandığını öne sürdüğünü söyledi. Microsoft, DBAPPPSecurity, Google ve Google’ın sahibi olduğu Mandiant’tan araştırmacıların da güvenlik açığı konusunda kendisine bilgi verdiğini söyledi.
Kusur, Microsoft işletim sistemlerinde Vista’dan bu yana her pencere için ekran dışı bir arabellek sağlayan, görüntülerin daha iyi işlenmesini ve pencerelerin kapanması gibi efektlerin uygulanmasını sağlayan bir işlev olan Masaüstü Pencere Yöneticisi’nde bulunmaktadır.
Zero Day’den Dustin Childs, “Bu tür hatalar genellikle bir kod yürütme hatasıyla birleştirilerek hedefi ele geçirir ve genellikle fidye yazılımı tarafından kullanılır. Microsoft, hatayı bildirdikleri için dört farklı gruba itibar eder, bu da saldırıların yaygın olduğunu gösterir” dedi. Girişim.
Kaspersky araştırmacıları bu kusuru, Masaüstü Pencere Yöneticisi’nde de bulunan yamalı bir Windows kusuru olan başka bir kusuru araştırırken buldular. Kötü amaçlı yazılım örneklerinin aranması onları, sıfır günün “çok bozuk İngilizce” ile kısa bir tanımını ve sistem ayrıcalıklarını kazanmak için nasıl yararlanılacağını içeren “1 Nisan’da VirusTotal’a yüklenen ilginç bir belgeye” yönlendirdi.
QakBot, 2008 yılında bir bankacılık Truva atı olarak oluşturuldu, ancak operatörleri yıllar içinde diğer siber suçlular için ilk erişim aracısı haline gelecek şekilde gelişti. Rusça konuşan fidye yazılımı operasyonları da dahil olmak üzere suç çetelerine erişimi sattılar.
Microsoft’un en son Salı Yaması, QakBot’un kullandığı kusur da dahil olmak üzere iki aktif sıfır günü düzeltir. CVE-2024-30040 olarak takip edilen diğeri de CVSS ölçeğinde “önemlidir”. Güvenlik açığı, sık sık Internet Explorer’a bağlanan web sayfalarını görüntüleyen MSHTML tarayıcı motorunda yatıyor. Microsoft, Internet Explorer’ın uzun zaman önce kullanımdan kaldırılmasına rağmen uyumluluk nedeniyle işletim sistemlerinde işlemeyi aktif tutuyor. Bir kurbanın kötü amaçlı bir belgeyi açması için sosyal mühendislik uygulayan bir bilgisayar korsanı, Microsoft’un ofis uygulamaları paketindeki OLE azaltımlarını geçirerek isteğe bağlı kod çalıştırabilir.