Rozena Arka Kapı (BackDoor) Kötü Amaçlı Yazılımları, Windows'a Uzak Kabuk Enjekte Etmek İçin Dosyasız Bir Saldırı Kullanıyor

Windows sistemlerinde Rozena adlı daha önce belgelenmemiş bir arka kapıyı dağıtmak için, yakın zamanda açıklanan Follina güvenlik açığından yararlanan bir kimlik avı kampanyası gözlemlenmiştir.

Microsoft Windows Destek Tanılama Aracı (MSDT), Mayıs 2022'de yayımlanan CVE-2022-30190 güvenlik açığına neden olan uzaktan kod yürütülmesi için tasarlanmış bir uygulamadır.

Kötü amaçlı bir dış bağlantı, saldırganların dosyaya kötü amaçlı bir OLE nesnesi eklemesine ve kurbanları bağlantıya tıklamaya veya yalnızca belgeyi önizlemeye yönlendirmesine olanak tanıyan bir yararlanmayı tetiklemek için Microsoft Office belgesine katıştırılabilir.

• CVE KİMLIĞI: CVE-2022-30190
• Açıklama: Microsoft Windows Destek Tanı Aracı'nda (MSDT) Uzaktan Kod Yürütme Güvenlik Açığı
• Piyasaya çıkışı: 30 Mayıs 2022
• CVSS: 7,0
• Etkilenen platformlar: Microsoft Windows
• Etki tarafları: Microsoft Windows Kullanıcıları
• Etki: Etkilenen makinenin tam kontrolü
• Önem Derecesi: Kritik

Teknik Analiz

Başlangıç noktası olarak bir Discord CDN URL'si içeren silahlandırılmış bir belge açıldıktan sonra, Fortinet tarafından gözlemlenen en son saldırı zincirinin sonucu olarak bir HTML dosyası ("index.htm") almak için belge bir Discord CDN URL'sine bağlanır.

Bu da, tanılama yardımcı programını başlatmak için bir PowerShell komutu çağırır ve ardından tanılama işlemini tamamlamak için aynı CDN ek alanından sonraki aşama yüklerini indirir.

Pakette iki dosya vardır – Rozena implantı (Word.exe) ve bir toplu iş dosyası (cd.bat) aşağıdaki görevleri ve etkinlikleri gerçekleştirmekten sorumludur:

• MSDT işlemini sonlandırır.
• Windows Kayıt Defteri'ni değiştirerek, arka kapı kalıcı hale getirilebilir ve uzun süre algılanamaz kalabilir.
• Zararsız bir belge indirerek bir aldatmaca Word belgesi oluşturur.

Kötü amaçlı yazılım, dosyaya kabuk kodu enjekte ederek ana bilgisayara ters kabuk isteği iletir ("microsofto.duckdns[.]org") saldırganın. Sonuç olarak, güvenliği ihlal edilmiş sisteme açılan bir Rozena arka kapısı açık bırakılır ve saldırganın izleme sistemini kontrol etmesine ve bilgileri yakalamasına olanak tanır.

Kullanılan Dosyalar ve Kötü Amaçlı Yazılımlar

Fortinet raporuna göre, Kötü Amaçlı Word belgeleri, Follina kusurundan yararlanan kötü amaçlı yazılımları yaymak için kullanılıyor. Saldırganlar aşağıdaki dosyalardan yararlanarak bu güvenlik açığından yararlanmak için sosyal mühendislik tekniklerini kullanır:

• Microsoft Excel
• Windows kısayolu (LNK)
• ISO görüntü dosyaları

Burada, yukarıda belirtilen tüm bu dosyalar, tehdit aktörleri tarafından kurbanın cihazına kötü amaçlı yazılım dağıtmak için damlalıklar olarak kullanılmıştır. Ve burada aşağıda kullanılan tüm kötü amaçlı yazılım türlerinden bahsettik:

• Emotet
• QBot
• IcedID
• Bumblebee

Bu kritik güvenlik açığı "CVE-2022-30190", tehdit aktörleri tarafından Word belgeleri aracılığıyla kötü amaçlı yazılım sunmak için istismar edilebilir ve böylece kötü amaçlı yazılımların yayılması için kolay bir yol oluşturulabilir.

14 Haziran 2022 itibariyle, Microsoft bu sorunu gidermek için zaten bir yama yayınladı. Ayrıca, FortiGuard'ın siber güvenlik analistleri, kullanıcıların bu güvenlik açığını önlemek için yamayı derhal uygulamalarını şiddetle tavsiye etti.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.