Tehdit aktörleri, müşterinin Authenticode imzası içindeki gizli ayarları değiştirerek imzalı uzaktan erişim kötü amaçlı yazılımları oluşturmak için ConnectWise ScreAnconnect yükleyicisini kötüye kullanıyor.
ConnectWise ScreAnconnect, BT yöneticilerinin ve yönetilen servis sağlayıcıların (MSP'ler) cihazların uzaktan sorun gidermesine izin veren bir uzak izleme ve yönetim (RMM) yazılımıdır.
Bir ScreAnconnect yükleyicisi oluşturulduğunda, istemcinin bağlanması gereken uzak sunucuyu, iletişim kutularında hangi metnin gösterildiğini ve görüntülenmesi gereken logoları içerecek şekilde özelleştirilebilir. Bu yapılandırma verileri dosyanın Authenticode imzası içinde kaydedilir.
Authenticode doldurma olarak adlandırılan bu teknik, dijital imzayı sağlam tutarken verilerin bir sertifika tablosuna eklenmesine izin verir.
Siber güvenlik firması GDATA, sertifika tablosu hariç tüm dosya bölümlerinde aynı karma değerlere sahip kötü niyetli bağlı ikili dosyalar gözlemledi.
Tek fark, dosyanın imzalanmasına izin verirken yeni kötü amaçlı yapılandırma bilgileri içeren değiştirilmiş bir sertifika tablosu idi.
G verileri, ilk örneklerin BleepingComputer forumlarında bulunduğunu söylüyor ve üyelerin kimlik avı saldırılarına düştükten sonra enfekte olduklarını bildiriyor. Reddit'e benzer saldırılar bildirildi.
Bu kimlik avı saldırıları, Cloudflare's R2 sunucularında (R2.DEV) barındırılan yürütülebilir ürünlerle bağlantılı olan PDF'ler veya aracı Canva sayfaları kullanıldı.
BleepingComputer tarafından görülen "Teklif Talebi.exe" olarak adlandırılan dosya, 86.38.225 [.] 6: 8041 (relay.rachael-and-aidan.co [.] UK) 'de saldırganın sunucularına bağlanmak üzere yapılandırılmış kötü amaçlı bir screenconnect istemcisidir.
GDATA, araştırmacıların yükleyicinin başlığını "Windows Update" olarak değiştirmek ve arka planı aşağıda gösterilen sahte Windows Update resmiyle değiştirmek gibi önemli değişiklikler buldukları bu kampanyalarda bulunan ayarları çıkarmak ve gözden geçirmek için bir araç oluşturdu.
Esasen, tehdit aktörleri meşru ConnectWise ScreAnconct istemcisini, enfekte olmuş cihazlara gizlice erişim kazanmalarını sağlayan kötü amaçlı yazılımlara dönüştürdü.
G verileriyle temasa geçtikten sonra, ConnectWise bu ikili dosyalarda kullanılan sertifikayı iptal etti ve GDATA şimdi bu örnekleri win32.backdoor.evilconwi.* Ve win32.Riskware.silentConwi.* Olarak işaretliyor.
G verileri, bu kampanya ve raporları hakkında ConnectWise'dan asla cevap almadıklarını söylüyor.
Başka bir kampanya aynı zamanda kurumsal yazılımdır, bu kez Sonicwall NetExtender VPN istemcisinin truva atışlarını kullanıcı adlarını, şifreleri ve alan bilgilerini çalmaya dağıtılır.
Sonicwall'dan bir danışmanlığa göre, bu değiştirilmiş sürümler yakalanan kimlik bilgilerini saldırgan kontrollü bir sunucuya göndererek kullanıcıların yalnızca resmi sitelerden yazılım istemcileri almasını kritik hale getirir.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın - karmaşık komut dosyaları gerekmez.
Nation-State Hacker'larına bağlı siber saldırıda ConnectWise ihlal edildi
Microsoft, Windows 11 güncellemelerini bozan bilinen sorunu düzeltiyor
Windows 10 KB5061087 Güncellemesi 13 değişiklik ve düzeltme ile yayınlandı
Microsoft, Güvenlik Artışı için Windows Update'den eski sürücüleri kaldıracak
Güvenlik endişeleri üzerinden Connectwise Döndürme Kod imzalama sertifikaları
Kaynak: Bleeping Computer