Dijital olarak imzalanmış bir adware aracı, sistem ayrıcalıklarıyla çalışan payload’lar dağıtarak, eğitim, kamu, sağlık ve enerji sektörlerindeki binlerce uç noktada antivirüs korumalarını devre dışı bıraktı. Araştırmacılar, tek bir günde, 124 ülkede 23,500’den fazla enfekte olmuş sistemin saldırganın altyapısına bağlanmaya çalıştığını gözlemledi.
Yalnızca Adware Değil
Yönetilen güvenlik firması Huntress, 22 Mart’ta, potansiyel olarak istenmeyen programlar (PUP) olarak görülen imzalı yürütülebilir dosyaların, birden fazla yönetilen ortamda uyarı tetiklediğini keşfetti. PUP’lar, geliştiriciye reklamlara olan yönlendirmelerle gelir sağlamak için tasarlanmış araçlardır.
Huntress araştırmacıları, yazılımın “arama gelir modeli” faaliyetleriyle uğraşan Dragon Boss Solutions LLC adlı bir şirket tarafından imzalandığını bildirdi. Bu şirket, bir dizi tarayıcı olarak etiketlenen ancak birden fazla güvenlik çözümü tarafından PUP olarak tespit edilen araçlar tanıtmaktadır (örn. Chromstera Browser, Chromnius, WorldWideWeb, Web Genius, Artificius Browser).
Kaynak: Huntress
Huntress araştırmacıları, Dragon Boss Solutions’un tarayıcılarının kullanıcıları sadece reklamlar ve yönlendirmelerle rahatsız etmekle kalmayıp, aynı zamanda antivirüs öldürücü bir işlevselliğe sahip gelişmiş bir güncelleme mekanizmasına sahip olduğunu belirtti.
Güvenliği Devre Dışı Bırakma
Huntress araştırmacıları, bu saldırının, ticari Advanced Installer yayınlama aracından güncellemeler aracılığıyla MSI ve PowerShell payload’ları dağıtarak gerçekleştirildiğini keşfetti. Güncelleme sürecinin yapılandırma dosyasını analiz etmek, işlemin tamamen sessiz olmasını sağlayan ve kullanıcı etkileşimini engelleyen bazı bayraklar keşfetti.
Güncelleme süreci, şu anda VirusTotal’da beş güvenlik satıcısı tarafından kötü amaçlı olarak işaretlenen Setup.msi adıyla maskelenmiş bir MSI yüklemesi alır. Bu MSI yüklemesi, PowerShell betikleri çalıştırmak veya belirli yazılımları aramak gibi belirli görevler için Advanced Installer tarafından kullanılan çeşitli meşru DLL’leri içerir.
Huntress, ana yükleme yüklemesini dağıtmadan önce MSI yükleyicisinin, yönetici durumunu kontrol ettiğini, sanal makineleri tespit ettiğini, internet bağlantısını doğruladığını ve kayıt defterini Malwarebytes, Kaspersky, McAfee ve ESET gibi antivirüs (AV) ürünlerinin kurulu olup olmadığını sorguladığını belirtti.
Güvenlik ürünleri, ClockRemoval.ps1 adlı PowerShell betiği aracılığıyla devre dışı bırakılır. Bu betik iki konuma yerleştirilir ve sistem açıldığında, oturum açıldığında ve her 30 dakikada bir güvenlik ürünlerinin sistemden kaldırılmasını sağlamak için bir rutin yürütür. Bu süreç, servisleri durdurmak, işlemleri sonlandırmak, kurulum dizinlerini silmek, iyice çalışmayan yükleyicileri sessiz bir şekilde çalıştırmak ve dosyaları zorla silmek de dahil olmak üzere çeşitli adımları içerir.
Kaynak: Huntress
Bu süreç, güvenlik ürünlerinin yeniden yüklenmesini veya güncellenmesini engellemek amacıyla, satıcıların alanlarını engelleyerek hosts dosyasını değiştirir. Analiz sırasında, Huntress, operatörün ana güncelleme alanını (chromsterabrowser[.]com) veya kampanyada kullanılan yedek alanı (worldwidewebframework3[.]com) kaydetmediğini belirtti ve bu durum hastalıklı sistemlerden gelen tüm bağlantıları çökertebilmek için bir fırsat sundu.
Bu nedenle, ana güncelleme alanını kaydettikleri sırada “on binlerce ele geçirilen uç noktanın” talimatlar aramak üzere ilişki kurduğunu gözlemlediler. Araştırmacılar, yüksek değerli ağlarda enfekte olmuş 324 sistemi tespit etti:
- 221 akademik kurum, Kuzey Amerika, Avrupa ve Asya’da
- 41 Operasyonel Teknoloji ağı, enerji ve ulaşım sektörlerinde, kritik altyapı sağlayıcılarında
- 35 belediyeler, eyalet ajansları ve kamu hizmetleri
- 24 ilkokul ve ortaokul
- 3 sağlık kuruluşu (hastane sistemleri ve sağlık hizmeti sağlayıcıları)
- Birçok Fortune 500 şirketinin ağları
Huntress, kötü amaçlı aracın şu anda bir AV öldürücü kullandığını, ancak enfekte sistemlere çok daha tehlikeli yüklerin sokulabilmesi mekanizmasının mevcut olduğunu ve bu durumun saldırıları artırmak için herhangi bir zamanda kullanılabileceğini belirtiyor. Ayrıca, ana güncelleme alanı kaydedilmediğinden, herhangi bir kişi bunu talep edebilir ve daha önce enfekte olmuş cihazlara rastgele yükler gönderebilir.
Huntress, sistem yöneticilerinin “MbRemoval” veya “MbSetup” içeren WMI olay aboneliklerini, “WMILoad” veya “ClockRemoval” ile referans alan planlanan görevleri, ve Dragon Boss Solutions LLC tarafından imzalanan süreçleri aramaları gerektiğini öneriyor. Ayrıca, hosts dosyasını AV satıcı alanlarını engelleyen girişler için gözden geçirin ve Microsoft Defender hariçleri için “DGoogle,” “EMicrosoft,” veya “DDapps” gibi şüpheli yolları kontrol edin.
