Gündem

Araştırmacılar Microsoft SQL’i Zararlı Yazılım Yerleştirmek İçin Kullanan Yükleyici Keşfetti (WhiteShadow)

Taramalarda yakalanmayan ve tarama yapılmış zaafiyetli sistemlere zararlı payload’lar enjekte etmek için Microsoft SQL sorguları yapan yeni yükleyici keşfedildi.

WhiteShadow ismiyle adlandırılan bu yükleyici, zararlı linkler bulunan email aracılığıyla veya Microsoft Word ve Excel eklentileriyle bulaşıyor.

Genel Bakış

Kurban zararlı mail’i açtığında ve makrolarla birlikte eklentilere eriştiğinde, zararlı yazılım payload’ları sisteme bulaşıyor.

Bu zararlı yazılım veritabanlarındaki uzun stringler’le ASCII olarak şifrelendi.

WhiteShadow, saldırganların kontrolünde olan Microsoft SQL sunucusundan indirilen zararlı yazılımın geniş dizisini kullanıyor.

Bu zararlı yazılım Proofpoint’teki araştırmacılar tarafından indirildi ve detaylı raporu şu linkte paylaşıldı: “https://www.proofpoint.com/us/threat-insight/post/new-whiteshadow-downloader-uses-microsoft-sql-retrieve-malware”

Saldırı Girişimleri

White S. ile olarak ağustosta görüldü, sonra birçok saldırı girişiminde bulunulduğu gözlemlendi.

İlk ataklar tarama için herhangi bir önleme sahip değildi ancak sonra saldırılar değişkenlerin yanlış yazılması ve kod şifrelemesi gibi yöntemlerle donatıldı.

WhiteShadow’un çoğu saldırısının Crimson zararlısını sızdırdığı gözlemlenmiştir.

Orion Logger, Remcos ve Nanocore gibi Keylogger’lar bu saldırılarda diğer zararlıların arasında bulundu.

Araştırmacılar, “WhiteShadow zararlı yazılımı, yükleyiciler tarafından payload’ları barındırmak için Microsoft SQL sunucusu kiralayan teslimat servisi gibi lanse ediliyor” dedi.

Genel Değerlendirme

Araştırmacılar organizasyonlara gelen mail’leri ve 1433 TCP portundan giden trafiği izlemelerini  ve Portların mutlaka firewall’daki ACL konfigürasyonunda sınırlı ve engellenmiş olması gerektiğini önerdi.

Ayrıca bu rapor, organizasyonlara bu zararlının sızma olaylarını taramasına yardım etmesi için bu zaafiyetlerin göstergelerini listeledi.

Daha Fazla Göster

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir