İnançlı Modu İstismar Eden Fidye Yazılımı AvosLocker Tehlike Saçıyor

Yeni kuşak siber güvenliğin önderi Sophos, “AvosLocker Remotely Accesses Boxes, Even Running in Safe Mode” başlığıyla yayınladığı araştırma makalesinde AvosLocker ismi verilen fidye yazılımına dair bulgularını paylaştı. Sophos’un araştırması, saldırganların BT meselelerinin tahlili sırasında birden fazla güvenlik ve BT idare aracını devre dışı bırakmalarını sağlayan Windows İnançlı Mod özelliği ve AnyDesk uzaktan idare aracını birlikte kullanarak güvenlik denetimlerini nasıl aşabildiklerine açıklık getiriyor.

AvosLocker, birinci olarak Haziran 2021’in sonlarında ortaya çıkan ve popülaritesi giderek artan hizmet odaklı yeni bir fidye yazılımı. Sophos Rapid Response takımı şimdiye dek Amerika, Orta Doğu ve Asya Pasifik bölgesinde Windows ve Linux sistemlerini maksat alan AvosLocker hücumlarına rastladı.

Sophos Olay Müdahale Takımı Yöneticisi Peter Mackenzie, ayrıntıları şöyle aktarıyor:

“AvosLocker’in gerisindekiler, AnyDesk’i amaç sistemlere İnançlı Modda çalışacak biçimde yükledikten sonra güvenlik tahlili bileşenlerini devre dışı bırakmaya odaklanıyor ve fidye yazılımını aktive ediyorlar. Böylelikle hedefledikleri tüm sistemler üzerinde kapsamlı uzaktan kontrole sahip oluyorlar. Sophos olarak kelam konusu bileşenlerden kimilerinin fidye yazılımlarını yaymak hedefiyle bu biçimde birlikte kullanıldığına daha evvel rastlamamıştık. Bu çeşit hücumlarla karşı karşıya kalan BT güvenlik gruplarının, hücumdan etkilenen tüm makinelerdeki AnyDesk kurulumlarının izleri temizlenene kadar riskin devam ettiğinin farkında olmaları gerekiyor.”

Fidye Yazılımı Dağıtım Süreci Nasıl İşliyor?

Fidye yazılımının davranışlarını gözlemleyen Sophos araştırmacıları, taarruzun gaye makinelerde “love.bat”, “update.bat” yahut “lock.bat” isimli toplu komut evraklarını yürütmek için PDQ Deploy’un kullanmasıyla başladığını buldu. Kelam konusu komut belgeleri, makineleri fidye yazılımı dağıtımına hazırlayan ve İnançlı Modda tekrar başlatan bir dizi ardışık komut içeriyor.

Yaklaşık beş saniyede tamamlanan komut süreci sırayla aşağıdaki adımları gerçekleştiriyor:

• Windows güncelleme hizmetleri ve Windows Defender devre dışı bırakılıyor
• İnançlı Modda çalışabilen ticari güvenlik yazılımı tahlillerine ilişkin bileşenler devre dışı bırakılmaya çalışılıyor
• Legal uzaktan idare aracı AnyDesk kuruluyor ve İnançlı Modda çalışacak biçimde ayarlıyor, böylelikle saldırganların kullanabileceği komuta denetim altyapısı oluşturuluyor
• Otomatik oturum açma bilgileriyle yeni bir hesap oluşturuluyor ve “update.exe” isimli yürütülebilir fidye yazılımını uzaktan çalıştırmak için amacın tesir alanı denetleyicisine bağlanılıyor

AvosLocker tarafından kullanılan tekniklerin kolay ancak çok zekice olduğunu vurgulayan Mackenzie, “Uygulanan usulle fidye yazılımının İnançlı Modda çalıştırılması ve saldırganların makinelere uzaktan erişiminin sürdürülmesi sağlanıyor. Sophos olarak daha evvel Snatch ve BlackMatter’in emsal teknikler uyguladığını görmüştük. Lakin bu fidye yazılımı kümelerinin hiçbiri İnançlı Moddayken makinelerin komuta ve denetimi için AnyDesk üzere bir uygulama yüklemeye çalışmadı. Bu türlü bir durumla birinci kere karşılaşıyoruz” diyor.

Sophos Intercept X ve başka Sophos uç nokta güvenlik eserleri, AvosLocker fidye yazılımlarının ve öbür atakların davranışlarını algılayarak sistemleri itimat altında tutabiliyor.