PuzzleMaker: Birçok farklı şirkete karşı yapılan hedefli saldırılar

Teknolojimiz, bir takım sıfır gün açıklarından yararlanan yazılım kullanan hedefli saldırılar tespit etti.

Kaspersky Endpoint Security for Business ürününe dahil davranışsal tehdit tespiti ve açıklardan yararlanan yazılımları engelleme teknolojileri, birkaç şirkete karşı yapılan üst düzey bir hedefli saldırı dalgası tanımladı. Bu saldırılar Google Chrome tarayıcısının ve Microsoft Windows’un güvenlik açıklarına yönelik zincirleme bir sıfır gün açıklarından yararlanan yazılım kullanmıştı. O zamandan beri bu güvenlik açıkları için yamalar hazırlandı (8 Haziranda Microsoft’un yayınladığı son güncellemelerle birlikte), bu nedenle biz de hem tarayıcınızı hem de işletim sisteminizi güncellemenizi öneriyoruz. Bu saldırıların arkasındaki tehdite PuzzleMaker deniyor.

Peki PuzzleMaker saldırılarını bu kadar tehlikeli yapan ne?

Saldırganlar hedef makinede kötü amaçlı kod yürütebilmek için Google Chrome’un güvenlik açıklarını kullanıyor ve ardından Windows 10’un iki güvenlik açığından yararlanarak “koruma alanından” kaçıp sisteme erişim elde edebiliyor. Daha sonra kurbanın makinesine, bir nevi rejisör de diyebileceğimiz, ilk kötü amaçlı yazılım modülünü ve özelleştirilmiş yapılandırma blokları (komuta sunucusunun adresi, oturum kimliği, sıradaki modül için gereken şifre anahtarları gibi) yüklüyorlar.

Bu rejisör, saldırganları saldırının başarılı olduğuna dair bilgilendiriyor; ardından bir dosya yükleyici modül indirip şifresini çözüyor. Bu modül de kendisini güvenli gibi gösterebilen yürütülebilir iki dosya yüklüyor. İlk dosya WmiPrvMon.exе hizmet olarak kaydediliyor ve wmimon.dll adındaki ikinci dosyayı çalıştırıyor. Bu ikinci yürütülebilir dosya, kendini uzaktaki kabuk komutu gibi gösteriyor ama aslında saldırının ana “içeriği” görevi görüyor.

Saldırganlar bu kabuğu kullanarak hedef makinenin tüm kontrolünü ele geçiriyor. Dosya indirip yükleyebiliyor, süreç oluşturabiliyor, belirli bir süre için uykuya geçebiliyor ve hatta makineden saldırının tüm izlerini silebiliyorlar. Bu kötü amaçlı yazılım bileşeni, şifreli bağlantı aracılığıyla komut sunucusuyla iletişim kurabiliyor.

Hangi güvenlik açıklarından yararlanan yazılımlar ve hangi güvenlik açıkları bunlar?

Ne yazık ki uzmanlarımız PuzzleMaker’ın Google Chrome’a saldırmak için kullandığı uzaktan kod yürüten açıklardan yararlanan yazılımı analiz edemedi; ama detaylı bir inceleme yaptılar ve saldırganların büyük olasılıkla CVE-2021-21224 güvenlik açığından yararlandığı sonucuna vardılar. Bu sonuca nasıl ve neden vardıklarını merak ediyorsanız bu Securelist gönderisinde yazdıklarını okumanızı öneririz. Her durumda, Google 20 Nisan 2021 tarihinde, saldırı dalgasını fark etmemizin üzerinden bir hafta bile geçmeden, bu güvenlik açığı için bir yama yayınladı.

Erişim hakkı verme özelliği olan açıklardan yararlanan yazılımlar, Windows 10’un aynı anda iki güvenlik açığını kullanır. Bunların ilki, CVE-2021-31955, ntoskrnl.exe dosyasında bulunan bilgi ifşasıyla ilgili bir güvenlik açığıdır. Açıklardan yararlanan yazılım bunu, yürütülen süreçlerin EPR0CESS yapı çekirdeğinin adresini bulmak için kullandı. İkinci güvenlik açığı CVE-2021-31956, ntfs.sys sürücüsünde bulunur ve güvenlik açıklarının yığın aşım sınıfına dahildir. Kötü niyetli kişiler bunu Windows Notification Facility ile birlikte hafızadaki verileri okumak veya yeni veri girmek için kullandı. Bu açıklardan yararlanan yazılım, en çok bilinen Windows 10 yapılarında kullanılabilir: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1), ve 19042 (20H2). 19043 (21H1) yapısı da savunmasızdır ama teknolojimiz henüz, biz PuzzleMaker’ı tespit ettikten sonra çıkan bu sürüm üzerine gerçekleştirilen bir saldırı tespit etmedi. Securelist detaylı teknik açıklamalar içeren bir paylaşım ve risk göstergelerinin bir listesini yayınladı.

Bu ve benzeri saldırılara karşı korunma

Kurumsal güvenliğinizi PuzzleMaker saldırısında kullanılan açıklardan yararlanan yazılımlara karşı korumak için önce Chrome’u güncelleyin (Microsoft’un internet sitesini kullanın), ardından CVE-2021-31955 ve CVE-2021-31956 güvenlik açıkları için yayınlanan işletim sistemi yamalarını yükleyin.

Bununla birlikte, diğer sıfır-gün güvenlik açıklarını riskten kurtarmak için her tür şirketin, şüpheli davranışları analiz ederek bunun gibi açıklardan yararlanma girişimlerini tespit edebilen siber güvenlik ürünleri kullanması gerekir. Örneğin bizim ürünlerimiz bu saldırıyı Kaspersky Endpoint Security for business içinde yer alan Güvenlik Açıklarından Yararlanan Yazılımlara Karşı Koruma alt sistemini ve Davranış Tespit Motoru teknolojisini kullanarak tespit etti.

İpuçları