Dünyada bir ilk gibi görünen bir şekilde, bilgisayar korsanları, Anahtar Yönetim Hizmetleri (KMS) için Windows olay günlüklerine dosyasız kötü amaçlı yazılım yerleştirmek için özel bir kötü amaçlı yazılım damlalığı kullandılar.
Kaspersky’den siber güvenlik araştırmacıları, yeni tekniği ilk olarak, virüslü bir uç noktasına sahip bir müşteri tarafından bilgilendirildikten sonra fark ettiler. Araştırmacılar, kampanyanın tamamının “çok hedefli” olduğunu ve bazıları özel olarak oluşturulmuş ve bazıları ticari olan geniş bir araç seti kullanıyor.
Kaspersky’den Denis Legezo’ya göre, bu teknik vahşi doğada ilk kez görülüyor. Açıkladığı gibi, kötü amaçlı yazılım düşürücü, işletim sisteminin gerçek hata işleme dosyası olan WerFault.exe’yi C:WindowsTasks klasörüne kopyalar ve ardından Wer.dll’ye (Windows Hata Raporlaması’nın kısaltması) şifrelenmiş bir ikili kaynak ekler. aynı konum. Bu şekilde DLL arama emri kaçırma yoluyla sisteme zararlı kodlar yüklenebilir.
Silentbreak
Legezo, yükleyicinin amacının olay günlüklerinde belirli satırları aramak olduğunu söylüyor. Onları bulamazsa, daha sonra saldırının bir sonraki aşaması için kötü amaçlı yazılımı oluşturacak olan şifreli kabuk kodu parçaları yazacaktır.
Başka bir deyişle, wer.dll bir yükleyici görevi görür ve Windows olay günlüklerinde kabuk kodu olmadan fazla zarar veremez.
Legezo yayına verdiği demeçte, tüm tekniğin ve çıkarılma şeklinin “etkileyici” olduğunu söyledi. Bir APT saldırganına işaret ederek, “Kampanyanın arkasındaki aktör başlı başına oldukça yetenekli veya en azından oldukça kapsamlı ticari araçlara sahip” dedi.
Tehdit aktörünün kim olduğu şu anda herkesin tahminidir. Araştırmacılara göre, kampanya Eylül 2021’de başladı ve kampanyanın kaydedilen önceki saldırılarla hiçbir benzerliği olmadığı göz önüne alındığında, muhtemelen tamamen yeni bir oyuncu arıyoruz.
Şu an için araştırmacılar saldırganı SilentBreak olarak adlandırıyorlar.
Aracılığıyla: BleeBilgisayar
