Water Hydra ve DarkCasino olarak bilinen hacker grubunun yılbaşı günü yapılan truva atı saldırılarında Microsoft Defender’da yer alan bir sıfırıncı gün açığını (CVE-2024-21412) kullandıkları tespit edildi. Microsoft dün yayınladığı bir güvenlik bülteninde “Kimliği doğrulanmamış bir saldırgan, hedeflenen kullanıcıya görüntülenen güvenlik kontrollerini atlamak için tasarlanmış özel olarak hazırlanmış bir dosya gönderebilir” dedi ve ilgili açığı yamadıklarını açıkladı.
RAT (uzaktan erişim Truva atı), bir saldırganın hedef bilgisayarda tam yönetici ayrıcalıkları ve uzaktan kontrol elde etmek için kullandığı kötü amaçlı bir yazılımdır. RAT’ler genellikle video oyunları gibi kullanıcı tarafından talep edilen meşru görünen programlarla birlikte indirilir veya hedeflerine kimlik avı e-postası yoluyla bir e-posta eki olarak gönderilir. Ana sistem ele geçirildikten sonra, saldırganlar ana sistemi kontrol etmek için bir arka kapı kullanır veya RAT’leri diğer savunmasız bilgisayarlara dağıtabilir ve bir botnet kurabilirler. Truva atı virüsleri ailesine ait olan RAT’ler, kendilerini meşru içerik olarak gizlemek için özel olarak tasarlanmıştır.
Bu sıfırıncı gün açığını bildiren Trend Micro güvenlik araştırmacısı Peter Girnus, CVE-2024-21412 açığının başka bir Defender SmartScreen açığını (CVE-2023-36025) atladığını ortaya çıkardı. CVE-2023-36025, Kasım 2023 Salı Yaması sırasında yamalanmıştı ve Trend Micro’nun geçen ay ortaya çıkardığı gibi, Phemedrone bilgi hırsızı kötü amaçlı yazılımını dağıtmak için URL dosyalarını açarken Windows güvenlik istemlerini atlamak için de kullanıldı.
Truva atı finans piyasası yatırımcılarını hedef almak için kullanıldı
Microsoft’un bugün yamaladığı sıfırıncı gün açığı, “yüksek riskli döviz ticareti piyasasına katılan döviz tüccarlarını” hedef alan saldırılarda kullanıldı ve muhtemelen nihai hedef daha sonraki bir aşamada veri hırsızlığı veya fidye yazılımı dağıtımı oldu.
Trend Micro, “Aralık 2023’ün sonlarında, Water Hydra grubu tarafından internet kısayollarını (.URL) ve Web Tabanlı Dağıtılmış Yazma ve Sürüm Oluşturma (WebDAV) bileşenlerini kötüye kullanmayı içeren benzer araçlar, taktikler ve prosedürler (TTP’ler) içeren bir kampanyayı izlemeye başladık” diyor ve ekliyor: “Bir kısayolu başka bir kısayol içinde çağırmanın, güvenilmeyen bir kaynaktan dosya açarken veya çalıştırırken kullanıcıları uyaran kritik bir Windows bileşeni olan Web İşaretini (MotW) düzgün bir şekilde uygulayamayan SmartScreen’i atlatmak için yeterli olduğu sonucuna vardık.”
Water Hydra, CVE-2024-21412’den yararlanarak forex ticaret forumlarını ve hisse senedi ticareti Telegram kanallarını hedef alan kimlik avı saldırılarında, Rusya’dan yasal bir forex broker platformunu taklit eden güvenliği ihlal edilmiş bir ticaret bilgileri sitesine bağlantı veren kötü amaçlı bir hisse senedi grafiği göndermişti. Saldırganların amacı, hedeflenen yatırımcıları sosyal mühendislik yoluyla DarkMe kötü amaçlı yazılımını yüklemeleri için kandırmaktı.
Kullandıkları taktikler arasında İngilizce ve Rusça olarak ticaret rehberliği isteyen veya sunan mesajlar yayınlamak ve grafik teknik analiz ve grafik gösterge araçlarıyla ilgili sahte hisse senedi ve finansal araçlar yaymak yer alıyor. Bu yeni gözlemlenen DarkMe kötü amaçlı yazılım kampanyası için risk belirteçlerinin (IoC’ler) tam bir listesine buradan ulaşabilirsiniz.
Sıfırıncı gün açıkları yaygın olarak kullanılıyor
Water Hydra hackerları geçmişte başka sıfırıncı gün güvenlik açıklarından da yararlanmıştı. Örneğin, 500 milyondan fazla kullanıcı tarafından kullanılan WinRAR yazılımındaki yüksek önem taşıyan bir güvenlik açığını (CVE-2023-38831), bir yama mevcut olmadan birkaç ay önce ticaret hesaplarını tehlikeye atmak için kullandılar. Diğer satıcılar daha sonra CVE-2023-38831 istismarını Rusya, Çin ve Kuzey Kore’den Sandworm, APT28, APT40, DarkPink (NSFOCUS) ve Konni (Knownsec) tehdit grupları da dahil olmak üzere hükümet destekli çok sayıda bilgisayar korsanlığı grubuyla ilişkilendirdi.
Microsoft bugün, saldırganların SmartScreen’e kod enjekte etmesine ve kod yürütme elde etmesine izin verebilecek ikinci bir Windows SmartScreen sıfırıncı gün açığını (CVE-2024-21351) daha yamadı.
 dağıtımında kullanılan bir Windows Defender SmartScreen sıfırıncı gün açığını yamadı){kind=link}