Clearsky siber güvenliği ile tanımlanan Microsoft Windows’ta yeni keşfedilen bir kırılganlığın, Çin devlet destekli gelişmiş ısrarlı tehdit (APT) Mustang Panda tarafından aktif olarak sömürüldüğü bildiriliyor.
Windows Explorer Grafik Kullanıcı Arayüzünü (GUI) etkileyen güvenlik açığı, Microsoft tarafından düşük şiddetli olarak sınıflandırılmıştır, ancak hedeflenen saldırılardaki sömürü nedeniyle önemli riskler oluşturmaktadır.
Güvenlik Açığı Detayları
Kusur, Windows’un sıkıştırılmış “rar” arşivlerinden çıkarılan dosyaları nasıl işlediğini içerir. Bir klasöre çıkarıldığında, bu dosyalar Windows Explorer GUI’de görünmez görünür ve kullanıcıları klasörün boş olduğuna inanmaya yönlendirir.
Ancak, tam yolları biliniyorsa dosyalara komut satırı araçları aracılığıyla erişilebilir ve yürütülebilir.
Örneğin, kullanarak dir komut bu gizli dosyaları ortaya çıkarır ve yürütür attrib -s -h Sistem korumalı dosyalarda, “bilinmeyen” ActiveX bileşeniyle ilişkili bilinmeyen bir dosya türünün oluşturulmasıyla sonuçlanır.
Bu sömürü yöntemi, tehdit aktörlerinin görünüşte iyi huylu arşivler içinde kötü niyetli dosyaları gizlemesine, tespiti atlamasına ve zararlı yüklerin gizli olarak yürütülmesini sağlayana izin verir.
Mustang Panda’nın rolü
Bronz Başkan veya Reddelta olarak da bilinen Mustang Panda, dünya çapında hükümetleri, STK’ları ve özel kuruluşları hedefleyen siber casusluk kampanyaları ile bilinen iyi belgelenmiş bir Çin apt grubudur.
Grup sıklıkla sistemlere sızmak ve hassas verileri dışarı atmak için PLAGX gibi mızrak aktı e-postaları ve özel kötü amaçlı yazılımlar kullanır.
Operasyonları genellikle Çin’in istihbarat toplama ve stratejik hakimiyet de dahil olmak üzere jeopolitik hedefleriyle uyumludur. Bu durumda Mustang Panda, kötü niyetli yükler sunmak için Windows güvenlik açığından yararlanıyor.
Taktikleri, kimlik avı kampanyaları veya diğer aldatıcı yöntemler aracılığıyla dağıtılan sıkıştırılmış arşivlere zararlı dosyaları yerleştirmeyi içerir. Çıkarıldıktan sonra, bu dosyalar kullanıcılardan gizli kalır, ancak sistemleri tehlikeye atmak için yürütülebilir.
Sofistike bir tehdit oyuncusu tarafından aktif sömürüsüne rağmen, Microsoft bu güvenlik açığını düşük şiddetli olarak sınıflandırmıştır.
Bu sınıflandırma, sömürü için gereken belirli koşulları veya diğer kritik güvenlik açıklarına kıyasla sınırlı potansiyel hasar kapsamını yansıtabilir.
Bununla birlikte, siber güvenlik uzmanları, daha geniş bir saldırı zincirinin bir parçası olarak kullanıldığında bu tür güvenlik açıklarının önemli etkileri olabileceği konusunda uyarmaktadır.
Bu aktif olarak gelişen bir hikaye. Clearsky Siber Güvenlik, güvenlik açığı ve sömürüsü hakkında daha fazla teknik ayrıntının yakında bloglarında yayınlanacağını gösterdi.
Kuruluşların güncellemeler için uyanık kalmaları ve sistemlerini potansiyel tehditlere karşı korumak için proaktif önlemler almaları tavsiye edilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!