Bu yılın ağustos ayının sonunda LNK dosyalarının Windows'ta görüntülenmesinde sıfır gün güvenlik açığı keşfedildi. Microsoft henüz herhangi bir düzeltme planlamıyor ve Trend Micro'nun Sıfır Gün Girişimi'nin (ZDI) aksine, bunu yüksek riskli olarak sınıflandırmıyor. BT güvenlik şirketi Arctic Wolf, bu güvenlik açığını kullanarak Avrupalı diplomatlara yönelik saldırıları gözlemledi.
Reklamdan sonra devamını okuyun
Arctic Wolf tarafından yapılan bir analizde BT araştırmacıları, Çin bağlantılı siber grup UNC6384'ün Belçika, İtalya, Hollanda, Sırbistan ve Macaristan'daki Avrupalı diplomatlara ve diplomatik kurumların yanı sıra daha geniş Avrupa diplomatik topluluğuna karşı aktif bir casusluk kampanyası yürüttüğünü yazıyor. Kampanya, Windows'taki LNK ekran güvenlik açığından yararlanıyor ve bu yılın Eylül ve Ekim aylarında yürütüldü. Saldırganlar aynı zamanda uyarlanmış sosyal mühendisliğe de güveniyor.
Saldırı zinciri, birkaç aşamanın ilki olan, URL içeren hedef odaklı kimlik avı e-postalarıyla başlar. Sonuçta bu, özellikle AB Komisyonu toplantıları, NATO ile ilgili çalıştaylar ve çok taraflı diplomatik koordinasyon etkinlikleriyle ilgili konular etrafında dönen kötü amaçlı bir LNK dosyasının teslim edilmesiyle sonuçlanıyor.
LNK dosyaları kötü amaçlı yazılım kurulumuna yol açıyor
Arctic Wolf'taki BT araştırmacıları şöyle açıklıyor: “Bu dosyalar, gizlenmiş PowerShell komutlarını yürütmek için yakın zamanda açıklanan Windows güvenlik açığından yararlanıyor. Bunlar, çok aşamalı bir kötü amaçlı yazılım zincirini açıyor ve dağıtıyor; bu da sonuçta PlugX Uzaktan Erişim Truva Atı'nın (RAT) meşru, imzalı Canon yazıcı asistanı programlarının DLL tarafından yüklenmesi yoluyla dağıtımına yol açıyor.”
Microsoft'un düzeltilmeye değer olarak sınıflandırmadığı güvenlik açığı, suçluların saldırılarında aktif olarak istismar ediliyor. Bu nedenle Microsoft'un karşı önlem olarak sunabileceği bir yama bulunmamaktadır. Arctic Wolf, diğer şeylerin yanı sıra, şüpheli kaynaklardan gelen .lnk dosyalarının kullanımının engellenmesini ve sınırlandırılmasını önerir. Windows Gezgini'nde otomatik çözünürlüğün devre dışı bırakılması bunun için uygundur. Bu, tüm Windows uç noktalarında uygulanmalıdır. Ancak Arctic Wolf bunu yapmanın en kolay yolunu veya bunun için bir grup politikası olup olmadığını tartışmıyor.
BT araştırmacıları ayrıca yöneticilerin arayabileceği birkaç güvenlik ihlali göstergesini (IOC) de adlandırıyor. Buna bazı komuta ve kontrol altyapısı URL'leri de dahildir. Ayrıca Canon yazıcı asistanı yardımcı programlarını, özellikle de “cnmpaui.exe” dosyasını kullanıcıların AppData dizinleri gibi alışılmadık yerlerde aramak da ipuçları sağlayabilir.
Reklamdan sonra devamını okuyun
Güvenlik açığının İnternet'te kötüye kullanılması Microsoft'un ilk sınıflandırmasını düzeltmesine yol açabilir. Böylece şirket güvenlik açığını kapatabilir ve BT güvenliğini birinci öncelik haline getirme sözünü yerine getirebilir. Ancak şu anda daha çok “güvenlik tiyatrosu” gibi görünüyor.
(dmk)
Bir yanıt yazın