Ogromna Cyberkriminalna Kampanja Iskorištava Ranjive Windows Draivere
U svijetu cyber kriminala otkrivena je velika kampanja koja koristi zastarjele i ranjive Windows drajvere za distribuciju zlonamjernog softvera prema žrtvama. Ova kampanja potječe iz Kine, a većina žrtava također se nalazi u toj zemlji. Istraživači kibernetičke sigurnosti iz Check Pointha objavili su sveobuhvatan članak u kojem navode da su napadači identificirali ranjivost u drajveru Truesight.sys, verziji 2.0.2, koja je poznata po tome što omogućava neovlašteno prekidanje procesa.
Kako Funkcionira Ova Kampanja?
Prevaranti su stvorili više od 2,500 jedinstvenih varijanti ovog drajvera kako bi održali valjanu potpisanost i tako izbjegli otkrivanje od strane antivirusnih programa. Osnovali su svoju C2 infrastrukturu koristeći servere smještene u Kini te su na tim serverima hostali ranjive drajvere. Žrtve su zatim ciljane putem phishing napada i socijalnog inženjeringa, pružajući im lažne ponude o luksuznim proizvodima.
Postupak Zaražavanja
- Žrtve preuzimaju ranjivi drajver i inicijalni komad zlonamjernog softvera.
- Njihovi sigurnosni programi se daljinski onemogućuju.
- Dodatni zlonamjerni softver se dropa (preuzima), dajući napadačima potpunu kontrolu nad inficiranim računalima.
Check Point nije iznio broj ljudi koji su bili ciljani, ali sugerira da je kampanja bila masivna, potencijalno zahvaćajući stotine tisuća uređaja. Dok se većina žrtava (75%) nalazi u Kini, ostatak je raspoređen po azijskim regijama poput Singapura, Tajvana i drugih.
Trajanje i Razvoj Kampanje
Istraživači su objasnili da su prvi koraci, kao što je postavljanje infrastrukture, zabilježeni u rujnu 2024. godine, nagovještavajući da je kampanja aktivna najmanje pola godine. Sredinom prosinca prošle godine, Microsoft je ažurirao svoju listu ranjivih drajvera, sprječavajući daljnju eksploataciju ovog problematičnog drajvera.
Tko Stoji Iza Kampanje?
Napadači koji stoje iza ove kampanje najvjerojatnije su grupa pod nazivom Silver Fox, koja se motivira financijskim dobitkom i nije državna skupina. Check Point ističe da lanac izvršenja, kao i taktike, tehnike i procedure (TTP) blisko nalikuju kampanji iz rujna 2024. godine koja je pripisana Silver Fox-u. Štoviše, grupa je poznata po korištenju kineskih javnih cloud servera za hostanje zlonamjernog softvera i C2, kao i po ciljanju žrtava u azijskoj regiji.
Zaključak
Ova cyberkriminalna kampanja predstavlja ozbiljnu prijetnju za sigurnost korisnika, posebno onih u Aziji. Preporučuje se oprez prilikom preuzimanja softvera i provjeravanje izvora, kako bi se smanjio rizik od zlonamjernih napada. Ostanite informirani i sigurni na mreži!
