Windows sistemlerinde Rozena adlı daha önce belgelenmemiş bir arka kapıyı dağıtmak için, yakın zamanda açıklanan Follina güvenlik açığından yararlanan bir kimlik avı kampanyası gözlemlendi.
Microsoft Windows Destek Tanılama Aracı (MSDT), uzaktan kod yürütme için tasarlanmış ve Mayıs 2022’de yayınlanan bir CVE-2022-30190 güvenlik açığına neden olan bir uygulamadır.
Saldırganların dosyaya kötü niyetli bir OLE nesnesi eklemesine ve kurbanları bağlantıya tıklamaya veya sadece belgeyi önizlemeye çekmesine izin verecek bir istismarı tetiklemek için bir Microsoft Office belgesine kötü amaçlı bir dış bağlantı yerleştirilebilir.
- CVE Kimliği: CVE-2022-30190
- Tanım: Microsoft Windows Destek Tanılama Aracı (MSDT) Uzaktan Kod Yürütme Güvenlik Açığı
- Piyasaya sürülmüş: 30 Mayıs 2022
- CVSS: 7.0
- Etkilenen platformlar: Microsoft Windows
- Etki tarafları: Microsoft Windows Kullanıcıları
- Darbe: Etkilenen Makinenin Tam Kontrolü
- Önem derecesi: kritik
Teknik Analiz
Başlangıç noktası olarak bir Discord CDN URL’si içeren silahlı bir belge açıldığında, Fortinet tarafından gözlemlenen en son saldırı zincirinin sonucu olarak bir HTML dosyası (“index.htm”) almak için belge bir Discord CDN URL’sine bağlanır.
Bu da, tanılama yardımcı programını başlatmak için bir PowerShell komutu çağırır ve ardından tanılama sürecini tamamlamak için sonraki aşama yüklerini aynı CDN ek alanından indirir.
Pakette iki dosya vardır – aşağıdaki görevleri ve etkinlikleri gerçekleştirmekten sorumlu olan Rozena implantı (Word.exe) ve bir toplu iş dosyası (cd.bat):-
- MSDT sürecini sonlandırır.
- Windows Kayıt Defteri’ni değiştirerek, arka kapı kalıcı hale getirilebilir ve uzun süre algılanamaz kalabilir.
- Zararsız bir belge indirerek sahte bir Word belgesi oluşturun.
Kötü amaçlı yazılım, dosyaya kabuk kodunu enjekte ederek ana bilgisayara bir ters kabuk isteği iletir (“microsofto.duckdns[.]org”) saldırganın. Sonuç olarak, güvenliği ihlal edilmiş sisteme yönelik bir Rozena arka kapısı açık bırakılır ve saldırganın izleme sistemini kontrol etmesine ve bilgi yakalamasına olanak tanır.
Kullanılan Dosyalar ve Kötü Amaçlı Yazılımlar
Fortinet’e göre bildiri, Kötü Amaçlı Word belgeleri, Follina kusurundan yararlanan kötü amaçlı yazılımları yaymak için kullanılıyor. Saldırganlar, aşağıdaki dosyalardan yararlanarak güvenlik açığından yararlanmak için sosyal mühendislik tekniklerini kullanır:-
- Microsoft Excel
- Windows kısayolu (LNK)
- ISO görüntü dosyaları
Burada, yukarıda bahsedilen dosyaların tümü, tehdit aktörleri tarafından kurbanın cihazına kötü amaçlı yazılım dağıtmak için damlatıcılar olarak kullanıldı. Aşağıda, kullanılan tüm kötü amaçlı yazılım türlerinden bahsettik:-
Bu kritik güvenlik açığı “CVE-2022-30190Word belgeleri aracılığıyla kötü amaçlı yazılım dağıtmak için tehdit aktörleri tarafından kullanılabilir ve böylece kötü amaçlı yazılımın yayılması için kolay bir yol oluşturabilir.
14 Haziran 2022 itibariyle Microsoft, bu sorunu gidermek için zaten bir yama yayınladı. Ayrıca, FortiGuard’ın siber güvenlik analistleri, bu güvenlik açığını önlemek için kullanıcıların yamayı hemen uygulamalarını şiddetle tavsiye etti.
bizi takip edebilirsiniz Linkedin, heyecan, Facebook günlük Siber Güvenlik güncellemeleri için.