Kaspersky, yeni Windows sıfırıncı gün açığından yararlanan QakBot ataklarını keşfetti
Bu keşif, 2024 yılı Nisan ayının başlarında Windows DWM Core Library Yetki Yükseltme güvenlik açığı (CVE-2023-36033) araştırılırken yapıldı. Microsoft, 14 Mayıs 2024'teki Mayıs Ayı Salı Yaması kapsamında bu güvenlik açığını düzeltmek için bir yama yayımladı.1 Nisan 2024'te VirusTotal'a yüklenen bir doküman Kaspersky araştırmacılarının dikkatini çekti. Açıklayıcı bir evrak ismine sahip olan doküman, potansiyel bir Windows işletim sistemi güvenlik açığına işaret ediyordu. Bozuk bir İngilizce'ye ve güvenlik açığını tetikleme ayrıntılarının eksik olmasına karşın doküman, güvenlik açıkları farklı olsa da CVE-2023-36033 için sıfırıncı gün istismarına emsal bir istismar sürecini tanımlıyordu. Takım, güvenlik açığının kurgusal ya da istismar edilemez olduğundan şüphelenerek araştırmalarını sürdürdü. Süratli bir denetim, bunun sistem ayrıcalıklarını artırabilen gerçek bir sıfırıncı gün güvenlik açığı olduğunu ortaya çıkardı.Kaspersky bulgularını derhal Microsoft'a bildirdi, Microsoft da güvenlik açığını doğruladı ve bunu CVE-2024-30051 olarak atadı. Raporun akabinde Kaspersky, bu sıfır gün güvenlik açığını kullanan istismar ve hücumları izlemeye başladı. Nisan ortasına gelindiğinde grup, CVE-2024-30051 için bir istismarın tespit edildiğini ve QakBot ile öteki ziyanlı yazılımlarla birlikte kullanıldığını gözlemledi. Bu durum, birden fazla tehdit aktörünün bu istismara erişimi olduğunu gösteriyor.Kaspersky GReAT'te baş güvenlik araştırmacısı olan Boris Larin, 'VirusTotal'da bulduğumuz doküman, açıklayıcı yapısı nedeniyle ilgimizi çekti ve daha fazla araştırma yapmaya karar verdik. Bu da bizi bu kritik sıfır gün güvenlik açığını keşfetmeye yöneltti. Tehdit aktörlerinin bu istismarı süratle cephanelerine entegre etmesi, siber güvenlikte vaktinde güncellemelerin ve dikkatli olmanın kıymetini vurguluyor.'"Kaspersky, birden fazla kullanıcının Windows sistemlerini güncellemesi için kâfi vakit geçtikten sonra CVE-2024-30051 hakkında teknik ayrıntıları yayımlamayı planlıyor. Kaspersky, süratli tahlil ve yamaları yayınladıkları için Microsoft'a teşekkürlerini sunuyor. Kaspersky eserleri, CVE-2024-30051 ve ilgili makûs emelli yazılımların istismarını tespit etmek için aşağıdaki kararlarla güncellendi:
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen