Redmond, Microsoft’un Windows Donanım Geliştirici Programı tarafından onaylanan kötü niyetli sürücülerin siber suçlular tarafından sömürü sonrası çabalarını artırmak için kullanıldığı konusunda uyardı – hedef ağlardaki güvenlik yazılımını sonlandırmayı amaçlayan küçük bir araç setinin parçası olarak kullanılmaları da dahil.
Microsoft, “Microsoft İş Ortağı Merkezi için birkaç geliştirici hesabı, bir Microsoft imzası almak için kötü amaçlı sürücüler göndermekle meşguldü” dedi. bir danışma 13 Aralık’ta yayınlandı. “29 Eylül 2022’de kötü niyetli bir sürücüyü imzalamak üzere göndermeye yönelik yeni bir girişim, Ekim ayı başlarında satıcıların hesaplarının askıya alınmasına yol açtı.”
Kod imzalama, yazılım ve işletim sistemi arasında bir güven düzeyi sağlamak için kullanılır; bu nedenle, yasal olarak imzalanmış sürücüler, normal yazılım güvenlik kontrollerini geçerek siber suçluların kurumsal bir ağ üzerinden cihazdan cihaza yatay geçiş yapmasına yardımcı olabilir.
SIM Değiştirme, Fidye Yazılım Saldırıları
Bilgi işlem devi, bu durumda, sürücülerin muhtemelen fidye yazılımı dağıtmak da dahil olmak üzere çeşitli sömürü sonrası faaliyetlerde kullanıldığını kabul etti. Ve Ekim ayında Sophos ile birlikte Microsoft’u bu sorunla ilgili olarak uyaran Mandiant ve SentinelOne, sürücülerin belirli kampanyalarda kullanımlarını ayrıntılı olarak açıkladı.
Göre onların bulgularıYine 13 Aralık’ta yayınlanan sürücüler, UNC3944 olarak bilinen tehdit aktörü tarafından “telekomünikasyona aktif izinsiz girişler, BPO [business process optimization]MSSP [managed security service provider]ve finansal hizmetler işletmeleri”, çeşitli sonuçlara yol açar.
Mandiant araştırmacılarına göre UNC3844, Mayıs ayından bu yana aktif olan ve genellikle SMS operasyonlarından kimlik avı kimlik bilgileriyle hedeflere ilk erişim sağlayan, mali amaçlı bir tehdit grubudur.
Mandiant, “Bazı durumlarda, grubun uzlaşma sonrası hedefleri, muhtemelen kurban ortamlarının dışında meydana gelen ikincil suç operasyonlarını desteklemek için SIM takas saldırılarını etkinleştirmek için kullanılan kimlik bilgilerine veya sistemlere erişmeye odaklandı.” 13 Aralık blog gönderisi konuyla ilgili.
Bu hedeflere hizmet etmek üzere, grubun antivirüs ve EDR işlemlerini sonlandırmak için tasarlanmış bir araç setinin parçası olarak Microsoft imzalı sürücüleri kullandığı gözlemlendi. Bu araç seti iki parçadan oluşur: Kötü amaçlı bir sürücü oluşturup yükleyerek işlemleri sonlandıran bir Windows kullanıcı alanı yardımcı programı olan Stonestop ve işlem sonlandırma işlemini başlatmak için Stonestop kullanan kötü amaçlı bir Windows sürücüsü olan Poortry.
SentinelLabs ayrıca aynı sürücüyü kullanan ayrı bir tehdit aktörü gözlemledi, “bu, Hive fidye yazılımının tıp endüstrisindeki bir hedefe karşı konuşlandırılmasıyla sonuçlandı ve bu tekniğin benzer araçlara erişimi olan çeşitli aktörler tarafından daha geniş bir şekilde kullanıldığını gösteriyor.”
Tehditle mücadele etmek için Microsoft, etkilenen dosyalar için sertifikayı iptal eden ve ortakların satıcı hesaplarını askıya alan Windows Güvenlik Güncelleştirmeleri yayımladı.
Şirket ayrıca, danışma belgesinde “Ayrıca Microsoft, müşterilerin kötüye kullanım sonrası faaliyetlerde kötü amaçlarla kullanılan yasal olarak imzalanmış sürücülerden korunmasına yardımcı olmak için engelleme algılamaları (Microsoft Defender 1.377.987.0 ve daha yenisi) uygulamıştır.”