Çinli Hackerlar, BT Firmalarına Saldırmak İçin Windows Sıfır Gün Açığını Kullanıyor
Çinli bilgisayar korsanlığı grubu, önceden bilinmeyen bir uzaktan erişim trojanını (RAT) dağıtmak için Windows Win32k çekirdek sürücüsündeki sıfır gün güvenlik açığından yararlandı.
MysterySnail olarak bilinen kötü amaçlı yazılım, Kaspersky güvenlik araştırmacıları tarafından Ağustos sonu ile Eylül 2021 arasında birden fazla Microsoft Sunucusunda bulundu.
Ayrıca, CVE-2021-40449 olarak adlandırılan ve bugün Microsoft tarafından bu ayki Salı Yaması kapsamında yamalanan Win32k sürücü güvenlik açığını hedefleyen bir ayrıcalık yükseltmesi açığı da bulundu.
“Sıfır günü keşfetmenin yanı sıra, sıfır gün açığıyla birlikte kullanılan kötü amaçlı yazılım yükünü analiz ettik ve BT şirketlerine, askeri/savunma ve diplomatik kuruluşlara yönelik casusluk saldırılarında yaygın bir şekilde kullanıldığını tespit ettik.”
“Keşfettiğimiz kod benzerliği ve C2 altyapısının yeniden kullanımı, bu saldırıları IronHusky olarak bilinen aktörle ve 2012 yılına dayanan Çince konuşan APT aktiviteleriyle ilişkilendirmemize sebep oldu.”
Çinli IronHusky APT, Kaspersky tarafından ilk olarak 2017 yılında Rus ve Moğol devlet kurumları, havacılık şirketleri ve araştırma enstitülerini hedef alan ve nihai amacı Rus-Moğol askeri müzakereleri hakkında istihbarat toplamak olan bir saldırıyı araştırırken tespit edildi.
Bir yıl sonra Kaspersky araştırmacıları, PlugX ve PoisonIvy dahil olmak üzere Çinli gruplar tarafından tipik olarak kullanılan RAT’leri yaymak için CVE-2017-11882 Microsoft Office bellek bozulması güvenlik açığından yararlandıklarını gözlemledi.
Ayrıcalık yükseltme için kullanılan sıfır gün açıkları ile dağıtılan RAT’ler
Bu saldırılarda MysterySnail RAT’ı dağıtmak için kullanılan ayrıcalık yükseltme açığı, Windows 7 ve Windows Server 2008’den Windows 11 ve Windows Server 2022 dahil olmak üzere CVE-2021-40449’a yama uygulanmamış en son sürümlere kadar Windows istemci ve sunucu sürümlerinde bulunuyor.
Kaspersky tarafından tespit edilen sıfır gün açığı, Windows istemci sürümlerini de kapsıyorken, yalnızca Windows Server sistemlerinde keşfedildi.
MysterySnail RAT, güvenliği ihlal edilmiş ana bilgisayarlardan sistem bilgilerini toplamak ve sızdırmak için tasarlanmıştır.
MysterySnail, virüs bulaşmış makinelerde yeni süreçler oluşturmak ve halihazırda çalışmakta olanları sonlandırmaktan, etkileşimli kabukları başlatmaya ve 50’ye kadar eşzamanlı bağlantıyı destekleyen bir proxy sunucusu başlatmaya kadar çeşitli görevleri gerçekleştirebilir.
İki araştırmacı, “Kötü amaçlı yazılımın kendisi çok karmaşık değil diğer RAT’lere çok benzemekte” diye ekledi.
“Ancak, nispeten çok sayıda uygulanan komutlar ve takılı disk sürücülerini izleme ve bir proxy olarak hareket etme yeteneği gibi ekstra yetenekler ile yine de bir şekilde göze çarpıyor.”
Kaynak: bleepingcomputer.com
Diğer Haberler
Microsoft Patch Thursday Yayınlandı Ortalık Karıştı Exchange Server İçin Acil Yama Vakti!
Microsoft’tan Yeni Rekor Geldi, 2,4 Tbps DDoS Engellendi
LibreOffice ve OpenOffice’deki Zafiyet İmzalı Belgelerin Taklit Edilmesine Yol Açıyor
