Karanlık ağda, siber güvenlik çözümlerini atlayabilen ve savunmasız bir uç noktaya her türlü kötü amaçlı yazılımı yükleyebilen tehlikeli bir önyükleme seti tespit edildi.
Siber güvenlik uzmanlarından yeni bir rapor ESET, bootkit’in büyük olasılıkla, karanlık ağda yaklaşık 5.000 dolara satılan rezil bir kötü amaçlı yazılım parçası olan BlackLotus olduğunu iddia ediyor.
BlackLotus yalnızca antivirüs programlarını atlamakla kalmaz, aynı zamanda UEFI Güvenli Önyükleme etkinken tamamen güncellenmiş Windows 11 cihazlarında da çalışabilir.
Rusya ve komşularını korumak
Önyükleme setinin çalışması için geliştiriciler, Microsoft’un bir yıldan uzun bir süre önce yama yaptığı bilinen bir güvenlik açığı olan CVE-2022-21894’ten yararlandı. Ancak, etkilenen, geçerli olarak imzalanmış ikili dosyalar hala UEFI iptal listesine, ESET’e eklenmediğinden, istismarı hala mümkündür. açıkladı (yeni sekmede açılır). Bu, BlackLotus’un meşru, savunmasız ikili dosyaların kendi kopyalarını getirebileceği ve ardından kusurdan yararlanabileceği anlamına gelir.
Antivirüs devre dışı bırakıldıktan sonra (hatta Windows Defender’ı içerir), bootkit, daha sonra diğer kötü amaçlı yükleri yükleyebilen bir indiriciyi dağıtabilir. Araştırmacılar ayrıca yükleyicinin Ermenistan, Beyaz Rusya, Kazakistan, Moldova, Rusya ve Ukrayna’da bulunan cihazları yedeklediğini de tespit etti.
BlackLotus, karanlık ağda dolaşıyor ve yaklaşık 5.000 dolara satılıyor. Ancak birçok araştırmacı, reklamların sahte olduğuna ve kötü amaçlı yazılımın gerçekten var olmadığına inanıyordu.
ESET araştırmacısı Martin Smolár, “Artık önyükleme setinin gerçek olduğuna ve reklamın sadece bir aldatmaca olmadığına dair kanıt sunabiliriz” diyor. “Hem kamu kaynaklarından hem de telemetrimizden alabildiğimiz BlackLotus örneklerinin sayısının az olması, henüz pek çok tehdit aktörünün bunu kullanmaya başlamadığına inanmamıza neden oluyor. Bootkit’in kolay devreye alınması ve suç yazılımı gruplarının botnet’lerini kullanarak kötü amaçlı yazılım yayma yeteneklerine bağlı olarak, bu bootkit’in suç yazılımı gruplarının eline geçmesi durumunda işlerin hızla değişeceğinden endişe duyuyoruz.”
ESET, tüm işletim sistemi önyükleme sürecini kontrol etme yeteneğinin UEFI önyükleme setlerini son derece güçlü bir silah haline getirdiği sonucuna vardı. Başarılı bir şekilde konuşlandıran tehdit aktörleri, hedef uç nokta üzerinde gizlice ve yüksek ayrıcalıklarla çalışabilir. Şimdiye kadar, vahşi ortamda bir avuç UEFI önyükleme seti gözlemlendi.
Smolár, “Elbette en iyi tavsiye, bir tehdidin daha en başında, işletim sistemi öncesi kalıcılığa ulaşmadan önce durdurulma şansını artırmak için sisteminizi ve güvenlik ürününü güncel tutmanızdır,” diye sözlerini tamamladı Smolár.