Microsoft Windows Server Update Services’ta (WSUS) yakın zamanda yamalanan bir güvenlik açığı, tehdit aktörleri tarafından ShadowPad olarak bilinen kötü amaçlı yazılımları dağıtmak için kullanıldı.
AhnLab Güvenlik İstihbarat Merkezi (ASEC) geçen hafta yayınlanan bir raporda, “Saldırgan, ilk erişim için CVE-2025-59287’yi kullanarak WSUS etkin Windows Sunucularını hedef aldı.” dedi. “Daha sonra bir sistem kabuğu (CMD) elde etmek için açık kaynaklı PowerShell tabanlı Netcat yardımcı programı PowerCat’i kullandılar. Daha sonra, certutil ve curl kullanarak ShadowPad’i indirip yüklediler.”
PlugX’in halefi olarak değerlendirilen ShadowPad, Çin devleti destekli bilgisayar korsanlığı grupları tarafından yaygın olarak kullanılan modüler bir arka kapıdır. İlk olarak 2015’te ortaya çıktı. Ağustos 2021’de yayınlanan bir analizde SentinelOne, onu “Çin casusluğunda özel olarak satılan kötü amaçlı yazılımların başyapıtı” olarak nitelendirdi.
Microsoft tarafından geçen ay ele alınan CVE-2025-59287, WSUS’ta sistem ayrıcalıklarıyla uzaktan kod yürütülmesini sağlamak için kullanılabilecek kritik bir seri durumdan çıkarma kusurunu ifade ediyor. Bu güvenlik açığı o zamandan beri, tehdit aktörlerinin bunu kamuya açık WSUS örneklerine ilk erişim elde etmek, keşif yapmak ve hatta Velociraptor gibi meşru araçları bırakmak için kullanması nedeniyle yoğun bir şekilde istismar edildi.
 |
|
ShadowPad, CVE-2025-59287 açığından yararlanılarak yüklendi |
Güney Koreli siber güvenlik şirketi tarafından belgelenen saldırıda, saldırganların harici bir sunucuyla (“149.28.78”) iletişim kurmak için “curl.exe” ve “certutil.exe” gibi Windows yardımcı programlarını başlatarak güvenlik açığını silah olarak kullandıkları tespit edildi.[.]189:42306″) ShadowPad’i indirip yüklemek için.
PlugX’e benzer ShadowPad, arka kapıyı yürütmek için bellekte yerleşik bir yükleyici görevi gören bir DLL yükünü (“ETDApix.dll”) yürütmek için meşru bir ikili dosyadan (“ETDCtrlHelper.exe”) yararlanarak DLL yandan yükleme yoluyla başlatılır.
Kötü amaçlı yazılım yüklendikten sonra, kabuk koduna gömülü diğer eklentilerin belleğe yüklenmesinden sorumlu olan bir çekirdek modülü başlatacak şekilde tasarlanmıştır. Ayrıca çeşitli tespit önleme ve kalıcılık teknikleriyle donatılmıştır.
AhnLab, “Güvenlik açığına yönelik kavram kanıtlama (PoC) yararlanma kodunun kamuya açıklanmasının ardından, saldırganlar bunu ShadowPad kötü amaçlı yazılımını WSUS sunucuları üzerinden dağıtmak için hızla silah haline getirdi” dedi. “Bu güvenlik açığı kritiktir çünkü sistem düzeyinde izinle uzaktan kod yürütülmesine olanak tanır ve potansiyel etkiyi önemli ölçüde artırır.”