Devam eden bir ZLoader kötü amaçlı yazılım kampanyası, kullanıcı kimlik bilgilerini ve hassas bilgileri sifonlamak için uzaktan izleme araçlarından ve Microsoft’un dijital imza doğrulamasından yararlanarak ortaya çıkarıldı.
Kasım 2021’den bu yana karmaşık enfeksiyon zincirini izleyen İsrailli siber güvenlik şirketi Check Point Research, bunu bir siber suçlu grubuna bağladı. kötü dumanönceki saldırılarla benzerlikler göstererek.
Check Point’ten Golan Cohen, “Enfeksiyon zincirine dahil edilen teknikler, hedef makineye ilk erişim sağlamak için meşru uzaktan yönetim yazılımının (RMM) kullanımını içerir.” Dedi. bildiri Hacker News ile paylaşıldı. “Kötü amaçlı yazılım daha sonra sistemin savunmasını daha fazla atlatmak için yükünü imzalı bir sistem DLL dosyasına enjekte etmek için Microsoft’un dijital imza doğrulama yöntemini kullanır.”
Kampanyanın 2 Ocak 2022 itibariyle 111 ülkede 2.170 kurban talep ettiği ve etkilenen tarafların çoğunun ABD, Kanada, Hindistan, Endonezya ve Avustralya’da bulunduğu söyleniyor. Keşif ve analizden kaçınmak için kendisini şaşırtma katmanları ve diğer tespit-kaçınma yöntemleriyle sarmalaması da dikkate değerdir.
Saldırı akışı, Atera adlı meşru bir kurumsal uzaktan izleme yazılımının yüklenmesiyle başlar ve onu rastgele dosyaları yüklemek ve indirmek ve kötü amaçlı komut dosyalarını yürütmek için kullanır. Ancak, yükleyici dosyasının tam olarak nasıl dağıtılacağı henüz bilinmiyor.
Dosyalardan biri, Windows Defender’a istisnalar eklemek için kullanılırken, ikinci bir dosya, ZLoader ikili dosyasını çalıştırmak için kullanılan “appContast.dll” adlı bir DLL dosyası da dahil olmak üzere sonraki aşama yüklerini almaya ve yürütmeye devam eder ( “9092.dll”).
Burada göze çarpan şey, appContast.dll’nin yalnızca Microsoft tarafından geçerli bir imzayla imzalanmış olması değil, aynı zamanda başlangıçta bir uygulama çözümleyici modülü (“AppResolver.dll”) olan dosyanın ince ayar yapılmış ve yüklenmek üzere kötü amaçlı bir komut dosyasıyla enjekte edilmiş olmasıdır. son aşamadaki kötü amaçlı yazılım.
Bu, şu şekilde izlenen bilinen bir sorundan yararlanarak mümkün olur: CVE-2013-3900 — bir WinVerifyTrust imza doğrulama güvenlik açığı — uzaktaki saldırganların, dosya imzasının geçerliliğini korurken kötü amaçlı kod parçacığını ekleyerek özel hazırlanmış taşınabilir yürütülebilir dosyalar aracılığıyla rastgele kod yürütmesine olanak tanır.
Microsoft, hatayı 2013’te ele almış olsa da, şirket revize Temmuz 2014’teki planlarını artık “Microsoft Windows’un desteklenen sürümlerinde varsayılan bir işlev olarak daha katı doğrulama davranışını zorunlu kılma” ve bunu bir katılım özelliği olarak kullanıma sunmuştur. Cohen, “Başka bir deyişle, bu düzeltme varsayılan olarak devre dışıdır ve bu, kötü amaçlı yazılım yazarının imzalı dosyayı değiştirmesini sağlayan şeydir.” Dedi.
Check Point kötü amaçlı yazılım araştırmacısı Kobi Eisenkraft, “ZLoader kampanya yazarlarının savunmadan kaçınmaya büyük çaba sarf ettiği ve yöntemlerini hala haftalık olarak güncellediği görülüyor” dedi ve kullanıcıları bilinmeyen kaynaklardan yazılım yüklemekten kaçınmaya ve Microsoft’un katı kurallarını uygulamaya çağırdı. Windows Authenticode imza doğrulaması yürütülebilir dosyalar için.
.
siber-2