ConnectWise ScreenConnect: Uzaktan Erişim Yazılımında Tehditler
ConnectWise ScreenConnect, uzaktan izleme ve yönetim (RMM) yazılımı olarak, IT yöneticileri ve yönetilen hizmet sağlayıcılar (MSP’ler) için cihazları uzaktan çözümleme imkanı sunmaktadır. Ancak, son dönemlerde bazı kötü niyetli aktörlerin bu yazılımı kötüye kullanarak, sahte uzaktan erişim kötü amaçlı yazılımlar oluşturduğu belirlenmiştir. Bu durumda, istemci uygulamasının Authenticode imzasında gizli ayarların değiştirilmesiyle gerçekleştirilmiştir.
Kötüye Kullanım ve Authenticode İmza Teknikleri
Kötü niyetli aktörler, ConnectWise ScreenConnect yükleyicisini özelleştirmekte, bağlantı kuracak uzaktan sunucular ve gösterilecek diyalog kutuları üzerine metin ile logolar eklemektedir. Bu yapılandırma verisi, dosyanın imza bölümünde saklanır. Bu tekniğe “authenticode stuffing” denir. Bu yöntem, dijital imzayı bozmadan bir sertifika tablosuna veri eklemeye imkan tanımaktadır.
Cybersecurity firması G DATA, tüm dosya bölümlerinde aynı karma değerlerine sahip kötü amaçlı ConnectWise ikili dosyaları tespit etmiştir. Ancak, sertifika tablolarında yapılan değişiklikler bu dosyaların tek farkını oluşturmakta, nitelikli imzanın kaybolmadan kötü amaçlı yazılım olarak işlev görmelerine olanak sağlamaktadır.
Pishing Saldırıları ve Bağlantılı Tehditler
G DATA, bu kötü amaçlı yazılımların BleepingComputer forumlarında ilk kez görüldüğünü, kullanıcıların phishing (oltalama) saldırıları sonrası enfekte olduklarını rapor etmektedir. Phishing saldırıları, genellikle PDF dosyaları veya Canva sayfaları üzerinden yürütülmekte ve Cloudflare’in R2 sunucularında barındırılan yürütülebilir dosyalara yönlendirme yapmaktadır.
BleepingComputer’da görülen bir örnek dosya "Request for Proposal.exe" olarak adlandırılmakta ve kötü amaçlı bir ScreenConnect istemcisi olarak tasarlanmıştır. Bu dosya, saldırganın sunucusuna bağlanacak şekilde yapılandırılmıştır. G DATA, bu kampanyalarda fark ettikleri önemli değişiklikler arasında yükleyici başlığının "Windows Güncellemesi" gibi yanıltıcı bir isimle değiştirilmesi ve arka planın sahte bir Windows Güncelleme görüntüsü ile değiştirilmesi olduğunu belirtmiştir.
Kötü Amaçlı Yazılımın İşleyişi ve Önlemler
Tehdit aktörleri, meşru ConnectWise ScreenConnect istemcisini kötü amaçlı bir yazılıma dönüştürerek, enfekte cihazlara gizlice erişim sağlamaktadır. G DATA, ConnectWise ile iletişime geçerek bu dosyalarda kullanılan sertifikanın iptal edilmesini talep etmiştir. Sonuç olarak, G DATA bu örnekleri Win32.Backdoor.EvilConwi. ve Win32.Riskware.SilentConwi. olarak işaretlemektedir.
Ancak, G DATA’nin ConnectWise’a yaptığı bildirim hakkında bir geri dönüş almadığı rapor edilmiştir. Bu durum, kullanıcıların yazılımlarını sadece resmi kaynaklardan indirmelerini zorunlu kılmaktadır.
Diğer Tehditler: SonicWall NetExtender VPN
Bir diğer kampanya, SonicWall’un NetExtender VPN istemcisindeki trojanize edilmiş versiyonların dağıtımı yoluyla gerçekleşmektedir. Bu tür modifiye edilmiş yazılımlar, kullanıcı adı, şifre ve alan adı bilgilerini çalıp saldırgan kontrolündeki sunuculara göndermektedir. SonicWall tarafından yapılan bir uyarı, kullanıcıların yalnızca resmi sitelerden yazılım istemcilerini temin etmelerinin kritik önem taşıdığını vurgulamaktadır.
Sonuç Olarak: Dikkat Edilmesi Gerekenler
Tüm bu veriler, uzaktan erişim yazılımlarının ve diğer sistem güvenlik bileşenlerinin ne kadar kritik bir öneme sahip olduğunu göstermektedir. Kötü niyetli aktörlerin her zaman güncel saldırı yöntemlerini takip ettiği ve bunları kullanarak kurbanlarını hedef aldığı için, IT yöneticileri ve kullanıcıların da dikkatli olması şarttır. Uzaktan erişim yazılımlarının meşru kullanımı, kötüye kullanımın önüne geçmek ve sistem güvenliğini sağlamak için etkili yollarla desteklenmelidir.
Son olarak, güncel yazılım kullanımı, güvenli bağlantılar ve sisteme dair sıkı güvenlik önlemlerinin alınması, bu tür tehditlerin önlenmesi açısından büyük bir önem taşımaktadır.
