Siber güvenlik şirketi CrowdStrike tarafından yapılan analizler ve sonrasında yayınlanan rapora göre, 2017 yılındaki faaliyetleriyle bilinen Magniber fidye yazılım çetesinin uzun bir süreden sonra yeni faaliyetleri gözlemlenmiş ve henüz yama uygulamamış Güney Kore’deki kullanıcıları veya şirketleri PrintNightMare güvenlik açığını kullanarak hedef aldığı tespit edilmiş. Saldırıların bilinen kadarıyla 13 Temmuz 2021’den bu yana gerçekleştirildiği belirtiliyor.
Magniber fidye yazılım çetesinin ilk olarak 2017 yılının sonlarında Magnitude Exploit Kit’ini (EK) kullanan kötü amaçlı reklam kampanyaları aracılığıyla Güney Kore’deki kurbanları hedef almış. Ancak çete, 2018’in ortalarına gelindiğinde hedef alanını biraz daha fazla genişletip diğer Asya Pasifik ülkelerindeki kişi veya kuruluşları hedef aldığı tespit edilmiş.
Magniber çetesinin son zamanlarda oldukça popüler olan ve PrintNightmare olarak adlandırılan yazıcı biriktiricisi güvenlik açığını kullandığı, bu açığı kullanarak tekrardan faaliyetlerine başladığı keşfedilmiş. Açıkcası bu güvenlik açığı ile ilgili PoC, çok kısa bir süre yayında kalıp, kaldırılmıştı ve kimler tarafından kullanılacağı meselesi beklenen bir gelişmeydi.
Saldırganlardan benzer davranışsal hareketler
CrowdStrike güvenlik araştırmacıları yaptıkları analizlerde, daha önceki yıllarda Magniber fidye yazılım çetesine ait örnek zararlıları karşılaştırdıklarında benzer davranışsal hareketlerle karşılaşmışlar: öncelikle mevcut veya buldukları bir güvenlik açığından yararlanıp, gizlenen DLL yükleyecesini kurbanın bilgisayarına bırakmak, daha sonra bu DLL yükleyecisini legal olarak çalışan bir işleme enjekte edip, son olarakta yerel dosya geçişi ve şifreleme gerçekleştiren çekirdek DLL yükleyici paketini unpack etmek olarak geçiyor. Kurbana ait verileri şifreleme işleminden sonra diğer fidye yazılım çeteleriyle aynı işlemleri gerçekleştiriyorlar.
Hangi PrintNightMare açığı kullanılıyor?
Microsoft, PrintNightmare sıfırıncı gün açığını yani CVE-2021-34527‘i gidermek için KB5004945 adında acil bir yama yayınlamıştı. Daha sonra yayınlamış olduğu güncelleştirmelerin CVE-2021-1675 sorununu gidermediği anlaşılınca, PrintNightMare olarak bilinen bu güvenlik açığı için CVE-2021-34527 adında yeni bir CVE duyurmuştu.
Bu iki CVE ile ilgili şöyle bir ayrıntı mevcut; CVE-2021-34527’ında ayrıcalık yükselmesi hatası bulunurken, CVE-2021-34527’da ise uzaktan kod yürütme mevcut olarak bulunuyor. Yapılan analizlerden sonra Magniber fidye yazılım çetesinin CVE-2021-34527 adlı CVE’den yararlandıkları anlaşılmış. Saldırıların şimdilik Güney Kore ile sınırlı kaldığı anlaşılırken, başka ülkelerde henüz bu açığın kullanılıp hedef alındığı bir kuruluş veya kullanıcıya rastlanılmamış.