Tehdit aktörleri, meşru uygulamalar olarak maskelenen imzalı kötü amaçlı yazılımları dağıtmak için ConnectWise yazılımlarındaki güvenlik açıklarından ve yapılandırmalarını giderek kullanmıştır.
Başlangıçta Şubat 2024’te Güvenlik Açıkları CVE-2024-1708 ve CVE-2024-1709 ile bağlantılı fidye yazılımı saldırıları ile gözlemlendi, istismar Mart 2025’e kadar “Evilconwi” takma adında yükseldi.
Bu yeni saldırı dalgası, ConnectWise’ın ScreAnconnect aracından yararlanır ve imzaları geçersiz kılmadan modifikasyonların yürütülebilir ürünlerde değişiklik yapmasını sağlayan bir teknik doldurma ile sertifika tablosunu değiştirir.
.png
)
Bu yöntem, genellikle küçük güncellemeler için geliştiriciler tarafından iyi huylu bir şekilde kullanılırken, kötü niyetli varlıklar tarafından özel yapılandırmaları gömmek için kaçırılmıştır, bu da zoom, adobe ve hatta Windows güncellemeleri gibi güvenilir yazılımları taklit eden uzaktan erişim kötü amaçlı yazılımları sağlar, böylece kullanıcıları bilinmeden sistemlerine erişim sağlama için aldatır.
Artan bir uzaktan erişim tehdidi dalgası
Enfeksiyon genellikle Facebook gibi platformlarda kimlik avı e -postaları veya aldatıcı reklamlarla başlar ve kurbanları kötü niyetli sitelere veya OneDrive ve Canva gibi hizmetler üzerindeki bağlantılara yönlendirir.
Bu bağlantılar, kullanıcıları zararsız dosyalar olarak gizlenmiş ConnectWise yükleyicileri indirmeye teşvik eder, bu da BleepingComputer ve Reddit gibi forumlarda bildirildiği gibi sahte Windows Update ekranlarını görüntüler veya düzensiz fare davranışı sergiler.
Daha derin bir teknik analiz, saldırganların lansman parametrelerini, bağlantı URL’lerini, bağlantı noktalarını, simgeleri ve hatta özel mesajları veya arka plan görüntülerini saklamak için ConnectWise örneklerinin sertifika tablosundaki kimlik doğrulanmamış özellikleri kötüye kullandıklarını ortaya koymaktadır.
Bu konfigürasyonlar, tepsi simgeleri veya bağlantı bildirimleri gibi görünür göstergeleri devre dışı bırakabilir, bu da saldırganların tespit edilmezken uzak bağlantının gizli kalmasını sağlar.
Örneğin, belirli örneklerin, Google Chrome görüntüleri veya sahte güncelleme bildirimleri ile uygulama başlıklarını ve simgeleri geçersiz kıldığı bulunmuştur ve kullanıcıları sömürü sırasında sistemlerini çevrimiçi tutmaya kandırır.
Teknik kötüye kullanım
Portexanalyzer ve AuthenticOdelint gibi araçları kullanarak ConnectWise örnekleri hakkında daha fazla araştırma, yalnızca sertifika tablosunda tutarsızlıkları göstermiştir ve Authenticode doldurmayı özelleştirme için birincil vektör olarak doğrulamıştır.
G Veri Raporuna göre, bu kötüye kullanım önemli bir zorluk oluşturmaktadır, çünkü gömülü ayarlar yazılımın davranışını doğrudan etkilemekte ve tehdit aktörlerinin güvenilir bir varlık tarafından imzalanmış son derece ikna edici kötü amaçlı yazılımlar oluşturmasına izin vermektedir.
Siber güvenlik uzmanları, App.config gibi dosyalardaki ayarların genellikle “showballoononconnect” veya “HideWallPaperonConnect” gibi uyarıları devre dışı bıraktığını ve bağlantıyı kullanıcılar için görünmez hale getirdiğini belirtti.
Yanıt olarak, savunucular bu şüpheli yapılandırmaları hedefleyen Yara imzaları gibi katı algılama kuralları uygulamaya ve .NET kaynaklarına gömülü sahte simgeleri veya başlıkları izlemeleri istenir.
Örneğin GDATA ürünleri, şimdi win32.backdoor.evilconwi gibi örnekleri işaretleyin.
12 Haziran 2025’te bu konular hakkında ConnectWise ile temasa geçildi ve daha sonra 17 Haziran’a kadar etkilenen imzayı iptal etti, ancak bu raporun yayınından itibaren resmi bir açıklama yapılmadı.
Uzlaşma Göstergeleri (IOCS)
| Enfeksiyon vektörü | Örnek |
|---|---|
| Sahte yükleyici (zoom) | 540c9ae519ed2e773f6d5b8b29fb7a8bfce67914691ce17be62a9b228e0a |
| Sahte Belge (PDF) | 98E3F74B733D4D44BEC7B1BF29F7B0E83299350143F1E05F0459571CB49C238 |
| Sahte Video İstemcisi (Canva) | 6AA1B9F976624F7965219F1A243DE2BEBB5A540C7ABD4D7A6D9278461D9EDC11 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin