Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Casusluk ve siber suç kampanyası 7 ZIP Web of the Web Bypass isabetlerine bağlı
Mathew J. Schwartz (Euroinfosec) •
4 Şubat 2025
Yaygın olarak kullanılan bir Windows arşivi yardımcı programında sıfır günlük bir güvenlik açığı, Rus hackerlar tarafından birden fazla Ukrayna kurumundan yararlanmak için kullanılmış gibi görünmektedir.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Güvenlik firması Trend Micro’daki araştırmacılar, CVE-2025-Olarak İzlenen Güvenlik Açığı’nı araştırdıktan sonra Eylül 2024’te açık kaynak 7-ZIP yazılımındaki Web’in Bypass güvenlik açığını keşfettiler. 0411.
Trend Micro’nun Sıfır Gün Girişim Böcek Bounty programı tarafından yayınlanan 19 Ocak güvenlik danışmanlığına göre, “Bu güvenlik açığı, uzak saldırganların etkilenen 7-ZIP kurulumlarında Web’in işaretli koruma mekanizmasını atlamalarına izin veriyor.” “Hedefin kötü amaçlı bir sayfayı ziyaret etmesi veya kötü amaçlı bir dosya açması gerektiği için bu güvenlik açığından yararlanmak için kullanıcı etkileşimi gereklidir.”
Rus tehdit aktörleri, güvenlik açığını keşfeden Trend Micro kıdemli tehdit araştırmacısı Peter Girnus, bunu zaten siber boyama için Ukrayna’daki hükümet ve özel sektör kuruluşlarını hedeflemek için kullandı.
ZDI, güvenlik açığı bilgilerini 1 Ekim 2024’te 7-ZIP’nin Yaratıcı ve Bakımcısı Igor Pavlov’a aktardı ve 30 Kasım 2024’teki yazılımın 24.09 sürümüyle kusuru yamaladı.
Web’in işareti veya MOTW, Windows’ta yerleşik olan ve dosyaların İnternet’ten ne zaman geldiğini veya Windows’ta belirlenmiş diğer “kısıtlı bölgeler” i belirtmek için tasarlanmış bir koruma özelliğidir. Kullanıcılar kısıtlı bölge dosyalarıyla etkileşime girmeye başladığında uyarılar görüntüler ve kötü amaçlı dosyaların yürütülmesini önleyebilen Microsoft Defender SmartScreen de dahil olmak üzere ek kontroller dağıtır.
Güvenlik firması Red Canary, MOTW “başarılı kimlik avı saldırılarına engel oluşturuyor çünkü potansiyel kurbana infazını reddetme fırsatı sunuluyor” dedi. Buna ek olarak, “SmartScreen’e kayıtlı AV motoruna bir kanca sağlıyor ve ek imza ve itibar kontrolleri yapma fırsatı sunuyor.”
Smokeloader kampanyası
25 Eylül 2024’te trend mikro güvenlik araştırmacıları tarafından tespit edilen aktif saldırılar, Ukrayna sistemlerini birden fazla Ukrayna devlet kurumuna ve işletmesine bağlı meşru ancak uzlaşmış hesaplar kullanarak Smokeloader kötü amaçlı yazılımlarla bulaşmaya çalışan bilgisayar korsanlarını içeriyordu.
Hedefler arasında Ukrayna’nın en büyük otomobil, kamyon ve otobüs üreticilerinden biri olan Zaporizhzhia Otomobil Yapı Tesisi vardı. Şirket, Ukrayna’nın Şubat 2022’de bir fetih savaşı başlatan Rus istilacılarını püskürtmek için çaba gösterdiği Ukrayna’nın güneydoğu Ukrayna’daki Zaporizhzhia Obast bölgesinde yer almaktadır.
Bilinen diğer hedefler arasında Ukrayna Adalet Bakanlığı, Kyiv’in toplu taşıma hizmeti, Verkhovyna Bölge Devlet İdaresi, Zalishchyky Kent Konseyi, ayrıca bir cihaz ve elektronik üreticisi, bir bölgesel eczane ve Bir sigorta şirketi, Trend Micro dedi.
Smokeloader kötü amaçlı yazılım Ukrayna’yı hedefleyen bilgisayar korsanlarının favorisi oldu. Birçok farklı ulus devlet grubu ve suçlu, 2011 yılında ilk kez çıkış yapan Smokeloader Truva at ailesini kullandı. Adından da anlaşılacağı gibi, saldırganlar yazılımı ek kötü amaçlı yazılım yüklemek için bir yükleyici – veya damlalık olarak kullanıyor ve kötü niyetli kod haline geldi. Miter’e göre, “Aldatma ve kendini koruma kullanımı ile kötü şöhretli”. Diğer saldırganlar, smokeloader’ı birincil kötü amaçlı yazılım parçası olarak kullanırlar, çoğu zaman, enfeksiyondan sonra, giriş bilgileri, otomatik doldurma verileri ve tarayıcılardan gelen çerezleri çalmak ve ayrıca verileri söndürmek de dahil olmak üzere çeşitli mevcut eklentileri indirmek için yapılandırırlar.
Rus hükümet bilgisayar korsanları, kötü amaçlı yazılım kullanıcıları olarak kalır. Geçen Aralık ayında, Ukrayna’nın Özel İletişim ve Bilgi Koruma Servisi, Rusya’nın federal güvenlik hizmetine bağlı bir grup da dahil olmak üzere birçok Rus tehdit grubunun, birçoğu Ukrayna kurumlarından finansal hırsızlığa odaklanan 2024 kampanyada duman yükleyiciyi kullandığını bildirdi.
Ukrayna hedefleme kampanyası, kullanıcıları kandırmak için neredeyse aynı karakterleri kullanmaya atıfta bulunan bir homoglif saldırısı da kullandı. Genel bir örnek olarak, saldırganlar “O” mektubunu sıfırla değiştirdikleri bir bağlantılı bir e -posta gönderebilirler – böylece yerine MICROSOFT.comgörürlerdi MICROS0FT.combu da birisini kötü niyetli bağlantıyı tıklamaya kandırabilir.
“Smokeloader kampanyasının bir parçası olarak ortaya çıkardığımız örneklerde, ZIP Archive, bir Microsoft Windows belgesini taklit etmek için bir homoglif saldırısı dağıttı (.doc) Dosya, “Bir arşiv dosyası yapmak için Kiril karakterini kullanarak” ES “bunun yerine bir Word belgesi gibi görünüyor, Trend Micro’dan Girnus.
“Bu strateji, kullanıcıları CVE-2025-0411 için istismarı tetiklemeye etkin bir şekilde yanıltıyor, bu da arşivin MOTW korumaları olmadan serbest bırakılmasına neden oluyor”, bundan sonra saldırı zinciri, kullanıcıların kimlik bilgilerini almak için tasarlanmış JavaScript dosyalarını yürütmeyi içeriyor, dedi. .
Araştırmacılar 7 ZIP’de ilk kez ortaya çıkarılmış kusurlar değil. Geçen Kasım ayında, güvenlik araştırmacıları, saldırganların 7-ZIP’nin savunmasız kurulumlarında keyfi kod çalıştırmak için özel olarak hazırlanmış bir arşiv aracılığıyla kullanabilecekleri CVE-2024-11477 atanan bir kullanıcı veri-validasyon eksikliğini detaylandırdı. O zaman, araştırmacılar kusurun aktif, vahşice istismarları görmediğini bildirdi.
Düzeltmeyi koordine eden sıfır gün girişimi, “Bu kütüphaneyle etkileşim bu güvenlik açığından yararlanmak için gereklidir, ancak saldırı vektörleri uygulamaya bağlı olarak değişebilir.” Dedi.