Cyble Research and Intelligence Labs (CRIL) araştırmacıları, kullanıcıların makinelerine bilgi hırsızları enjekte etmek için Microsoft SmartScreen’deki bir güvenlik açığından yararlanan aktif bir kampanyayı ortaya çıkardı.
Microsoft, Şubat ayında SmartScreen güvenlik açığı (CVE-2024-21412) için bir yama yayınladı ve CISA bunu bilinen istismar edilen güvenlik açıkları kataloğuna ekledi; ancak görünüşe göre yama sınırlı bir şekilde dağıtıldı; zira Cyble, kampanyanın İspanya, ABD ve Avustralya da dahil olmak üzere birden fazla bölgedeki kullanıcıları hedef aldığını söyledi.
Başka bir SmartScreen açığı (CVE-2024-29988) Nisan ayında düzeltildi.
Microsoft SmartScreen Güvenlik Açığı Kimlik Avı Tarafından İstismar Edildi
Kampanya, kullanıcıları kötü amaçlı yükleri indirmeye kandırmak için sağlık sigortası planları, ulaşım bildirimleri ve vergiyle ilgili iletişimlerle ilgili kimlik avı yemleriyle başlıyor. Cyble araştırmacıları, spam e-postalarının kullanıcıları kötü amaçlı bir internet kısayol dosyasını yürütmeye kandırmak için bir arama protokolü kullanan bir WebDAV paylaşımına yönlendiren bir bağlantı içerdiğini söyledi.
Ardından gelen çok aşamalı saldırıda forfiles.exe, PowerShell, mshta ve diğer güvenilir dosyalar gibi meşru araçlar kullanılarak güvenlik önlemleri atlatılır ve ardından DLL yan yüklemesi ve IDATLoader son yük explorer.exe’ye enjekte edilir.
Kampanyanın son yükleri olarak Lumma ve Meduza Stealer geliyor.
Ocak Ayında Sıfır Gün Saldırısı Keşfedildi
Zero Day Initiative (ZDI), Ocak ortasında sahte yazılım yükleyicileri aracılığıyla güvenlik açığını istismar eden karmaşık bir DarkGate kampanyasını ortaya çıkardı. APT grubu Water Hydra da SmartScreen’i atlatarak DarkMe uzaktan erişim trojanını (RAT) dağıtarak finansal piyasa yatırımcılarına karşı hedefli bir kampanyada CVE-2024-21412’yi kullanıyordu.
Cyble araştırmacıları son kampanyada, tehdit aktörlerinin (TA’lar) bu güvenlik açığını kullanarak Microsoft Defender SmartScreen’i aştığını ve kurbanların sistemlerine zararlı yazılımlar yerleştirdiğini söyledi.
Aşağıdaki görsel, Cyble araştırmacılarının son saldırılarda gözlemlediği karmaşık enfeksiyon zincirini gösteriyor.
Kampanyada kullanılan tuzak belgeler, İspanyol vergi mükelleflerini, ABD Ulaştırma Bakanlığı’na ait olduğu iddia edilen e-postalarla ulaşım şirketlerini ve resmi Medicare kayıt formlarını taklit ederek Avustralya’daki kişileri hedef alıyor.
Gelişmiş Saldırı Zinciri
Araştırmacılar, kötü amaçlı LNK dosyasının yürütüldüğünde, toplu dosya işleme için tasarlanmış meşru bir Windows yürütülebilir dosyası olan forfiles yardımcı programını tetiklediğini söyledi. Yardımcı program C:\Windows dizininde “win.ini” dosyasını başarıyla bulursa, forfiles.exe uzak bir sunucuda barındırılan kötü amaçlı bir dosyayı yürütmek için “mshta.exe”yi kullanan bir PowerShell komutunu yürütmeye devam eder.
Barındırılan dosyanın adı “dialer.exe”dir ve bu, bir PowerShell Betiğini çözmek ve yürütmek için String.fromCharCode() yöntemini kullanan gömülü kötü amaçlı JavaScript’i içerecek şekilde değiştirilmiştir. Bu betik, AES şifreli blokları şifresini çözerek başka bir PowerShell betiğini yükler ve bu betik, uzak sunucudan lure belgesini ve başka bir 7z yükleyici dosyasını indirir ve bunları C:UsersuserAppDataRoaming’e kaydeder. Başarılı bir indirmenin ardından, PowerShell betiği lure belgesini açar ve yükleyici dosyasını yürütür.
Cyble araştırmacıları, yükleyici dosyasının daha sonra temiz dosyalar, bağımlılık DLL’leri, yan yükleme için kötü amaçlı bir DLL ve şifrelenmiş bir IDAT yükleyicisi de dahil olmak üzere ek dosyaları bıraktığını yazdı.
Tüm dosyalar %appdata% dizinine yerleştirildikten sonra, yükleyici dosyası meşru bir dosyayı başlatarak DLL yan yüklemesini başlatır. Araştırmacılar, “Bu meşru dosya daha sonra kötü amaçlı bir DLL yükler, bu da IDAT yükleyicisinin içeriğini alır, şifresini çözer ve yükü explorer.exe’ye enjekte eder,” dedi. “Bu kampanyada, Lumma ve Mdeuza Stealer olarak tanınan enjekte edilen içerik, daha sonra tehlikeye atılmış sistemlerde kötü amaçlı işlemler gerçekleştirir.”
‘Giderek Daha Dinamik ve Tehlikeli Bir Tehdit Ortamı’
Cyble araştırmacıları, CVE-2024-21412’nin istismarındaki son artışın yanı sıra DLL yan yükleme ve IDATLoader kombinasyonları gibi karmaşık tekniklerin benimsenmesinin, “siber tehditlerin giderek daha dinamik ve tehlikeli bir tehdit ortamında nasıl evrimleşmeye devam ettiğini gösterdiğini” söyledi.
Kötü amaçlı yazılım hizmeti olarak sunulan MaaS’ın, kötü niyetli kişilerin gelişmiş araçları daha kolay bir şekilde dağıtmasına olanak sağlayarak bu eğilimi güçlendirebileceği belirtildi.
Araştırmacılar, bu karmaşık tehditlerle mücadeleye yardımcı olmak için bir dizi siber güvenlik kontrolü öneriyor:
- Gelişmiş e-posta filtreleme çözümleri Son kullanıcılar için siber güvenlik eğitiminin yanı sıra ekstra koruma sağlayarak kötü amaçlı ekleri ve bağlantıları tespit etmeye ve engellemeye yardımcı olabilir.
- Forfiles yardımcı programı izlenmeli ve kısıtlanmalı ve meşru amaçlar için gerekli olmadıkça kullanıcı iş istasyonları ve sunucularında betik dillerinin yürütülmesi devre dışı bırakılmalı veya kısıtlanmalıdır.
- Uygulama beyaz listeleme Sistemlerinizde yalnızca onaylı ve güvenilir uygulamaların ve DLL’lerin çalışmasını sağlamaya yardımcı olacaktır.
- Ağ segmentasyonu Kritik iş yüklerini koruyabilir ve kötü amaçlı yazılımların bir kuruluş içinde yayılmasını sınırlayabilir.
Cyble blogunda ayrıca MITRE ATT&CK Teknikleri, Tehlikeye Atma Göstergeleri (IoC) ve bir YARA tespit kuralı yer alıyor.