Microsoft, fidye yazılımı saldırganlarının kötü amaçlı Office belgeleriyle uygulama geliştiricilerini hedef aldığını söylüyor

Sharing is caring!

Microsoft, son zamanlarda bilgisayar korsanlarının MSHTML, diğer bir deyişle Internet Explorer’ın Trident işleme motorunda hileli Office belgeleri ve hedeflenen geliştiriciler aracılığıyla tehlikeli bir uzaktan kod yürütme güvenlik açığından yararlandığını gördüğünü ayrıntılı olarak açıkladı .

Microsoft güvenlik araştırmacıları, Ağustos ayında Windows sistemlerinde kusurun aktif olarak kullanıldığını keşfetti ve bu haftanın Salı Yama güncellemesi , daha önce bilinmeyen hata için CVE-2021-40444 olarak izlenen bir yama içeriyordu .  

Saldırılar yaygın değildi ve güvenlik açığı, özel Cobalt Strike Beacon yükleyicileri dağıtan erken aşamadaki bir saldırının parçası olarak kullanıldı. Cobalt Strike bir sızma testi aracıdır. 

Microsoft’un saldırılarla ilgili analizine göre, Microsoft , devlet destekli bilgisayar korsanlarının çalışmasından ziyade yükleyicilerin, insan tarafından işletilen fidye yazılımları da dahil olmak üzere çeşitli siber suç kampanyalarına bağlanan altyapıyla iletişim kurduğunu buldu . 

Microsoft, bazı saldırılarda kullanılan sosyal mühendislik cazibesinin kasıtlı bir hedefleme unsuru olduğunu öne sürdü: “Kampanya, birden fazla uygulama geliştirme kuruluşunun hedef alındığı bir mobil uygulama için bir geliştirici aramayı amaçlıyordu.” 

Microsoft, bu kampanya tarafından başarıyla tehlikeye atılan en az bir kuruluşun daha önce benzer temalı bir kötü amaçlı yazılım dalgası tarafından tehlikeye atıldığını söyledi. Ancak daha sonraki bir faaliyet dalgasında, cazibe, uygulama geliştiricilerini hedeflemekten bir “küçük talep mahkemesi” yasal tehdidine dönüştü.

Bu durumda saldırganlar, bir Office belgesi aracılığıyla kötü amaçlı bir ActiveX denetimi yüklemek için IE oluşturma motoru kusurunu kullanıyorlardı. 

Saldırının etkilenen cihazlara erişmesine rağmen, saldırganlar hala kimlik bilgilerini çalmaya ve tüm organizasyonu etkilemek için yanlamasına hareket etmeye güveniyordu. Microsoft, müşterilerin güvenlik açığını tamamen azaltmak için Salı günkü yamayı uygulamalarını önerir, ancak aynı zamanda ağın sağlamlaştırılmasını, önemli kimlik bilgilerinin temizlenmesini ve yanal hareketi azaltmak için adımlar atılmasını önerir. 

Microsoft, bu saldırıyı yeni ortaya çıkan veya “gelişmekte olan” bir tehdit aktörünün işi olarak görüyor ve Kobalt Strike altyapısının kullanımını DEV-0365 olarak izliyor. Tek bir operatör tarafından işletiliyor gibi görünüyor. Ancak Microsoft, örneğin devam eden etkinliğin Conti fidye yazılımını sağladığına inanıyor. Yazılım devi, bunun diğer siber suçlulara hizmet olarak satılan bir komuta ve kontrol altyapısı olabileceğini öne sürüyor. 

“CVE-2021-40444’ü kötüye kullanan Ağustos 2021 saldırılarında kullanılan oleObjects’i barındıran altyapılardan bazıları, Microsoft’un DEV-0193 olarak izlediği bir grupla örtüşen BazaLoader ve Trickbot yüklerinin tesliminde de yer aldı. DEV-0193 etkinlikleri Mandiant tarafından UNC1878 olarak izlenen eylemlerle örtüşüyor” diyor Microsoft. 

BazaLoader kötü amaçlı yazılımı, kurbanları gönüllü olarak kötü amaçlı yazılım yüklemeleri için kandırmaya çalışan operatörleri aramaları için hedefleri kandırmak için sosyal mühendisliği kullanan kötü niyetli çağrı merkezi operatörleri tarafından kullanılmıştır. Gruplar, hedeflere ulaşan e-postalarda kötü niyetli bağlantılar kullanmaz, böylece ortak e-posta filtreleme kurallarını atlar.

Facebook
Twitter
LinkedIn
Pinterest
Tumblr
WhatsApp

Benzer Haberler

Son Haberler