Tehdit aktörleri, kullanıcıları kötü amaçlı web sitelerinden ve indirmelerden korumak için tasarlanan güvenlik mekanizmalarını atlatmak için Microsoft Defender SmartScreen’in sıfır gün kusurlarından yararlanıyor.
Tehdit aktörleri bu güvenlik açıklarından yararlanarak tespitten kaçabilir, yetkisiz erişim elde edebilir ve potansiyel olarak zararlı eylemler gerçekleştirebilir.
Tren Micro’daki siber güvenlik araştırmacıları yakın zamanda APT grubu Water Hydra’nın (diğer adıyla DarkCasino) arkasındaki tehdit aktörlerinin Microsoft Defender SmartScreen sıfır gün kusurundan aktif olarak yararlandığını tespit etti.
Trend Micro Zero Day Initiative, ZDI-CAN-23100 olarak izlenen CVE-2024-21412 numaralı güvenlik açığını keşfetti.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Water Hydra Microsoft SmartScreen’den Yararlanıyor
Water Hydra grubu 2021’de ortaya çıktı ve dünya çapında finans sektörünü sert bir şekilde vurduğu görüldü. Başlangıçta Evilnum ile bağlantılı olarak DarkCasino kampanyasında (Eylül 2022) DarkMe RAT’ı tanıttılar.
Kolaylaştırılmış bir enfeksiyon süreci, Ocak 2024’ün sonlarından bu yana Water Hydra grubu tarafından aktif olarak kullanılıyor.
Water Hydra, bulaşma zincirini güncelleyerek ve kötü amaçlı bir Microsoft Yükleyici Dosyası (.MSI) çalıştırmak için CVE-2024-21412’yi kullanarak Ocak 2024’te DarkMe bulaşma sürecini kolaylaştırdı.
Water Hydra’nın hedef odaklı kimlik avı kampanyası (T1566.002), DarkMe kötü amaçlı yazılımını kullanan forex ve hisse senedi alım satım forumlarını vurdu. Sosyal mühendislik taktikleri, güvenliği ihlal edilmiş bir Rus sitesinde (fxbulls) yayınlanan sahte hisse senedi araçlarını içeriyordu.[.]ru).
Bu sitenin yasal bir broker (fxbulls) ile aynı adı paylaşması dikkat çekicidir.[.]com), Apple App Store’un MT4’ü kaldırıldı ve daha sonra Rusya’nın yaptırımları nedeniyle eski durumuna getirildi.
Kampanya, kurbanları bir internet kısayolu (.url) ile kandırıyor ve CVE-2024-21412’yi kullanarak Windows Explorer’daki arama protokolünü kötüye kullanıyor. Water Hydra, kısayolu SmartScreen’i atlamaya ve Windows’u tehlikeye atmaya yardımcı olan bir JPEG olarak gizlemek için imagress.dll’yi kullanır.
Alışılmadık bir değişiklik, SmartScreen sıfır gününü (CVE-2023-36025) kullanarak ilk kısayoldaki başka bir internet kısayoluna (2.url) atıfta bulunmayı içerir.
Water Hydra, MotW kusurlarının keşfedilmesini sağlayan ve SmartScreen’den kaçan CVE-2024-21412 istismarını tetiklemeleri için kullanıcıları kandırarak Windows Gezgini’ni manipüle ediyor. Enfeksiyon zinciri, kullanıcıya açıklanmadığı için gizli bir şekilde çalışır.
SmartScreen ikinci 2.url’yi atladıktan sonra, kullanıcının farkında olmadan DarkMe DLL yükleyicisini başlatarak WebDAV paylaşımından ZIP gömülü bir toplu iş dosyasını çalıştırır. Tüm süreç, kullanıcıları habersiz bırakarak gizlice gerçekleşir.
İstismarın ardından aktör, Truva Atı ile aynı adı taşıyan orijinal bir JPEG indirmek için bir WebDAV sunucusuna bağlanır ve kurbanı, DarkMe enfeksiyonundan habersiz, amaçlanan dosyayı açtığını düşünerek kandırır.
Sıfır gün saldırıları, Water Hydra tarafından ifşa edilmeden önce kullanılan CVE-2023-38831 gibi açıklanmayan güvenlik açıklarından yararlanarak kuruluşlar için ciddi riskler oluşturur.
APT28 ve APT29 gibi APT grupları, tehditleri kötüleştirerek bu tür istismarlardan yararlanıyor. Ayrıca CVE-2023-36025 gibi yamaları CVE-2024-21412 ile atlamak, APT’lerin güvenlik önlemlerine nasıl uyum sağladığını vurguluyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.