DarkGate kötü amaçlı yazılım operatörleri, kötü amaçlı kodu yaymak için sahte Microsoft yazılım yükleyicilerini dağıtan bir kimlik avı kampanyası aracılığıyla, artık yamalı bir Windows SmartScreen atlama kusurundan yararlanıyor.
Trend Micro araştırmacıları, diğerlerinin yanı sıra, o zamanlar sıfırıncı gün İnternet Kısayol Dosyaları güvenlik özelliğinin, şu şekilde takip edilen bir güvenlik açığını atladığını keşfetti: CVE-2024-21412 bu yılın başında Microsoft yaması Şubat ayı Salı Salı güncellemelerinin bir parçası olarak. Bu, saldırganlardan önce değil Su Hydrası onu istismar etti hain amaçlar için.
Şimdi Trend Micro araştırmacıları DarkGate oyuncularının Trend Micro Zero Day Initiative’in (ZDI) bu hafta yayınlanan blog gönderisine göre, Ocak ortasındaki bir kampanyada kullanıcıları Google DoubleClick Dijital Pazarlama (DDM) açık yönlendirmeleri içeren PDF’lerle cezbeden kusurun üzerine de atıldı. Bu yönlendirmeler, kurbanları Microsoft Windows SmartScreen’i CVE-2024-21412 bypass’ını barındıran, güvenliği ihlal edilmiş sitelere yönlendirdi ve bu da kötü niyetli Microsoft (.MSI) yükleyicilerinin ortaya çıkmasına yol açtı.
“Bu saldırı zincirinde DarkGate operatörleri, kurbanları kötü amaçlı yazılım bulaşmasına karşı yeşil bayrakla işaretleyen Microsoft Defender SmartScreen korumalarını atlamak için CVE-2024-21412 ile eşleştirilen Google açık yönlendirmelerini kötüye kullanarak Google ile ilgili alanlara verilen güveni kötüye kullandı.” Trend Micro araştırmacıları Peter Girnus, Aliakbar Zahravi ve Simon Zuckerbraun gönderide açıkladı. “Sahte yazılım yükleyicilerinin açık yönlendirmelerle birlikte kullanılması güçlü bir kombinasyondur ve birçok enfeksiyona yol açabilir.”
Trend Micro’ya göre DarkGate, Borland Delphi’de yazılmış ve Rusça dilindeki bir siber suç forumunda en az 2018’den beri hizmet olarak kötü amaçlı yazılım (MaaS) olarak tanıtılan bir uzaktan erişim Truva Atı’dır (RAT). Araştırmacılar anlatıyor Karanlık Kapı “Siber suç dünyasındaki en üretken, gelişmiş ve aktif kötü amaçlı yazılım türlerinden biri.”
Kötü amaçlı yazılımın, diğerlerinin yanı sıra, işlem enjeksiyonu, indirme ve yürütme dosyası, bilgi çalma, kabuk komut yürütme ve tuş kaydetme yetenekleri dahil olmak üzere çeşitli özellikleri vardır. Aynı zamanda birden fazla kaçınma tekniği kullanır.
DarkGate yalnızca kendisi tarafından yaygın olarak kullanılmamıştır. operatörler ama aynı zamanda çeşitli finansal motivasyona sahip tehdit aktörleri Kuzey Amerika, Avrupa, Asya ve Afrika’daki kuruluşları hedeflemek için.
Google Open Yönlendirmelerinin Kötüye Kullanılması
Kampanyada istismar edilen kusur, bir bypass’a bağlı daha önce yamalı SmartScreen güvenlik açığı, CVE-2023-36025, desteklenen tüm Windows sürümlerini etkiler.
TrendMicro tarafından gözlemlenen DarkGate kampanyası, tehdit aktörlerinin istismar ettiği ortak bir taktiği kullanıyor yönlendirmeleri aç Google DoubleClick Dijital Pazarlama (DDM) teknolojilerinde, güvenlik atlamalarıyla eşleştirildiğinde kod yürütülmesine yol açabilir.
Araştırmacılar, “Google, URL yönlendirmelerini reklam platformunun ve diğer çevrimiçi reklam sunma hizmetlerinin bir parçası olarak kullanıyor” diye açıkladı. DDM, kullanıcının hangi sorguları gönderdiğini izler ve sorguya dayalı olarak alakalı reklamlar gösterir ve reklamverenlerin, yayıncıların ve reklam ajanslarının çevrimiçi reklamcılık kampanyalarını yönetmesine ve optimize etmesine yardımcı olmak için tasarlanmıştır.
Araştırmacılar, tehdit aktörlerinin, belirli reklam kampanyaları yoluyla ve belirli kitleleri hedef alarak kötü amaçlı yazılımların erişimini artırmak için onu kötüye kullanabileceği karanlık bir yanının da bulunduğunu gözlemledi. Aslında bu etkinlik giderek artıyor ve aynı zamanda popüler MaaS hırsızları da dahil olmak üzere diğer kötü amaçlı yazılımları yaymak için de kullanılıyor. Rhadamanthys ve macOS hırsızları gibi Atom Hırsızı (AMOS) dediler.
DarkGate kimlik avı kampanyasıyla ilgili olarak, bir kullanıcı kötü amaçlı e-postadaki PDF yemine tıkladığında çift tıklamadan açık bir yönlendirme tetiklenir.[.]net etki alanı, kullanıcıyı başka bir İnternet kısayol dosyasına yönlendirerek CVE-2024-21412’den yararlanan, güvenliği ihlal edilmiş bir Web sunucusuna yönlendirir. Araştırmacılar, bunun sonuçta DarkGate kötü amaçlı yazılımının çok aşamalı bir şekilde yürütülmesine yol açtığını, bunun bu durumda 6.1.7 sürümünün olduğunu ve doğada görülen önceki sürümlere göre bazı geliştirmeler içerdiğini söyledi.
“Ana değişiklikler arasında konfigürasyon için XOR şifrelemesi, yeni konfigürasyon değerlerinin eklenmesi, sürüm 5 otomasyon konfigürasyon çıkarıcısının üstesinden gelmek için konfigürasyon sıralarının yeniden düzenlenmesi ve komuta ve kontrol (C&C) komut değerlerinde güncellemeler yer alıyor” diye yazdılar posta.
Yama ve Savunma
Windows sistemlerinin yöneticileri, Microsoft’un sağladığı düzeltmeyi kullanarak sistemlerine yama uygulayarak DarkGate CVE-2024-21412 istismar kampanyasından kaynaklanan riskleri önleyebilir. Bunun dışında kuruluşların teknoloji ortamlarını savunmak için atabilecekleri başka adımlar da var.
Biri çalışan eğitimi Araştırmacılar, özellikle makinelerine bilinmeyen yazılımların yüklenmesi söz konusu olduğunda eğitim ve talimat verildiğini belirtti. “Dikkatli olmak ve kullanıcılara, resmi kanallar dışında aldıkları hiçbir yazılım yükleyicisine güvenmemeleri konusunda talimat vermek çok önemli” diye yazdılar.
Daha geniş siber güvenlik savunması, bilinen, bilinmeyen, yönetilen ve yönetilmeyen siber varlıklar da dahil olmak üzere bir ortamın daha geniş saldırı yüzeyinin sürekli izlenmesini ve tanımlanmasını içerir. Araştırmacılar, bunun güvenlik açıkları da dahil olmak üzere potansiyel risklerin yanı sıra potansiyel saldırıların olasılığı ve etkisini önceliklendirmenin ve ele almanın anahtarı olduğunu söyledi.
Dikkatli olmak ve kullanıcılara, resmi kanallar dışında aldıkları hiçbir yazılım yükleyicisine güvenmemeleri konusunda talimat vermek çok önemlidir. İşletmelerin ve bireylerin, sistemlerini bu tür tehditlerden korumak için proaktif adımlar atması gerekiyor.
