CPU-Z ve HWMonitor, saldırı sonucu kötü amaçlı yazılım dağıtımında kullanıldı

 (theregister.com)
3 puan yazan GN⁺ 19 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Popüler sistem yardımcı araçları HWMonitor ve CPU-Z'nin indirme bağlantıları geçici olarak değiştirilerek kötü amaçlı yazılım dağıtıldı
  • Saldırganlar CPUID web sitesinin arka ucunun bir bölümünü ele geçirerek meşru kurulum dosyaları yerine rastgele kötü amaçlı dosyalar sundu
  • Kötü amaçlı sürüm, sahte bir CRYPTBASE.dll içeriyor; bu dosya komuta ve kontrol sunucusuyla iletişim kuruyor ve PowerShell üzerinden bellek içinde çalışan bir .NET yükü enjekte ediyor
  • CPUID, ihlali doğruladı ve 6 saat içinde düzeltmeyi tamamladığını, imzalı orijinal dosyaların zarar görmediğini açıkladı
  • Bu olay, tedarik zinciri saldırılarının bir uzantısı olarak, kod değiştirilmeden yalnızca dağıtım yolu üzerinden de zarar verilebileceğini gösteriyor

CPUID web sitesi hacklendi, HWMonitor indirmesi kötü amaçlı yazılımla değiştirildi

  • CPUID web sitesi geçici olarak hacklenerek HWMonitor ve CPU-Z'nin indirme bağlantıları kötü amaçlı yazılım dağıtım yoluna dönüştürüldü
    • Saldırganlar arka ucun bir bölümünü ele geçirip meşru bağlantıları rastgele kötü amaçlı dosyalarla değiştirdi
    • Bazı kullanıcılar, kurulum dosyasının antivirüs uyarısı verdiğini veya anormal bir dosya adıyla göründüğünü bildirdi
  • HWMonitor 1.63 güncelleme bağlantısının “HWiNFO_Monitor_Setup.exe” adlı yanlış bir dosyaya yönlendiği vakalar doğrulandı; bu da üst akış aşamasında bir manipülasyon şüphesi doğurdu
    • Reddit gibi topluluklarda çok sayıda kullanıcı sorunu fark edip uyarılar paylaştı
  • CPUID daha sonra ihlali resmen doğrulayarak, yazılım derlemesinin kendisinin değil yardımcı bir API'nin (arka uç bileşeni) yaklaşık 6 saat boyunca ele geçirildiğini açıkladı
    • Olay 9-10 Nisan arasında meydana geldi ve şu anda düzeltilmiş durumda
    • İmzalı orijinal dosyaların zarar görmediği özellikle belirtildi
  • Kötü amaçlı kurulum dosyası 64 bit HWMonitor kullanıcılarını hedef alıyor ve Windows bileşeni gibi görünen sahte bir CRYPTBASE.dll içeriyor
    • Bu DLL, komuta ve kontrol (C2) sunucusuna bağlanarak ek yükler indiriyor
    • Kötü amaçlı yazılım, diskte iz bırakmamak için PowerShell kullanarak bellek içinde çalışıyor, kurban sistemde .NET yükünü derleyip başka süreçlere enjekte ediyor
    • Chrome IElevation COM arayüzü üzerinden tarayıcıda saklanan kimlik bilgilerine erişme davranışı da gözlemlendi
  • Analizler, bu saldırının geçmişte FileZilla kullanıcılarını hedef alan kampanyayla aynı altyapıyı kullandığını gösterdi
    • vx-underground analizine göre aynı saldırgan grubun birden fazla yazılım dağıtım ağını kötüye kullandığına dair işaretler var
  • CPUID sorunun çözüldüğünü açıkladı, ancak API'ye erişim yolu ve enfekte olan kullanıcı sayısı henüz açıklanmadı
    • Olay, saldırganların kodun kendisini değiştirmeden de yalnızca dağıtım yolu üzerinden zarar verebileceğini gösteren bir örnek olarak değerlendiriliyor

İlgili okumalar

1 yorum

 
GN⁺ 19 일 전
Hacker News yorumları

  • CPU-Z’nin bakım sorumlusu Sam durumu bizzat açıkladı. Franck şu anda uzakta olduğu için sunucuyu inceliyorlar ve VirusTotal bağlantısına göre sunucudaki dosyaların temiz olduğu doğrulandı. Ancak bazı bağlantılar değiştirilerek kötü amaçlı kurulum dosyasına yönlendirilmiş ve bu durum yaklaşık 6 saat boyunca (09/04~10/04 GMT) açık kalmış. Şu anda bağlantılar düzeltilmiş ve ek inceleme için site salt okunur moda alınmış

    • Geçmişte CPU incelemeleri yazmış biri olarak Sam ve Franck’ın ikisinin de güvenilir kişiler olduğunu söyleyebilirim. Franck, CPUID’in kilit isimlerinden biri; Sam ise Canard PC ve Memtest projesiyle de tanınan bir arkadaş
    • Sorunun hızlıca fark edilip bağlantıların düzeltilmiş olması sevindirici. Açıkçası ilk başta sorunun cpuid.com’daki reklam banner’ı olduğunu sanmıştım. İndirme sayfasında “Download Now”, “Install for Windows 10/11” gibi sahte düğme çok fazla. Bu yüzden ben böyle durumlarda winget install CPUID.CPU-Z komutunu tercih ediyorum
    • Son birkaç haftada Discord veya başka sohbet ortamlarında erişilebilirlik bildirimleri kötüye kullanılarak zamanlama saldırıları yapıldığına dair bunun üçüncü örneğini görüyorum
    • Bu saldırının tam olarak nasıl gerçekleştirildiğini merak ediyorum

  • İndirmeden sonra Windows Defender virüsü hemen tespit etmiş ama kişi, sık sık yanlış alarm verdiği için bunu görmezden gelmiş. Bu tür yanlış pozitifler (false positive) güvenlik farkındalığını körelten bir yan etki yaratıyor

    • Bunda Microsoft’un da bir miktar sorumluluğu olduğunu düşünüyorum. Defender, sadece “Win32/Keygen” gibi gerekçelerle crack dosyalarını engelleyince kullanıcılar antivirüsü devre dışı bırakma alışkanlığı kazanıyor. Sonuçta gerçekten zararlı yazılımların da gözden kaçmasına yol açıyor
    • Kaynak tabanlı dağıtım veya yeniden üretilebilir derlemeler (reproducible builds) ile bu tür sorunlar hafifletilebilir
    • Bu tür durumları önlemek için güvenilir bir Windows uygulama mağazası ya da paket yöneticisi gerekiyor

  • Yeni sürüm yazılımları çıkar çıkmaz kuran kişilerle alay edilerek onlara “insan kalkanı” denmiş

    • Ancak CPU-Z veya HWMonitor, yeni bir PC kurulduğunda donanımı kontrol etmek için hemen kullanılan araçlar. npm paketlerinde olduğu gibi deneysel güncellemeleri test etmekten değil, sadece en güncel sürümü indirmekten söz ediyoruz
    • Kullanıcıya yazılımın güvenlik itibarı hakkında bilgi veren araçlar olsa iyi olurdu. Çünkü Crowdstrike ya da SAST araçları ancak kurulumdan sonra tespit yapabiliyor
    • Ama bir aylık bir sürümün güvenli olduğunun da garantisi yok. Saldırganlar kötü amaçlı davranışı aylar sonra başlatabilir

  • Bu olayda etkilenen ürün HWMonitor ve resmi sayfa ile HWInfo farklı programlar. Aynı konu Reddit’te de tartışılıyor

  • Kurulum dosyasının kendisi temizdi; sitenin bağlantıları değiştirilerek Cloudflare R2 üzerindeki kötü amaçlı çalıştırılabilir dosyaya yönlendirme yapılmış. İleride kök neden analizinin paylaşılması bekleniyor

    • Bu, bir tedarik zinciri saldırısından ziyade watering hole saldırısına daha yakın. Geliştiriciyseniz winget veya chocolatey gibi paket yöneticileri kullanmak daha güvenli

  • Windows kullanıcıları için winget ile kurulum yapmak görece avantajlı. Resmi manifestte imza doğrulaması yapılıyor ve winget install --exact --id CPUID.CPU-Z komutuyla daha güvenli kurulum mümkün

    • Ancak WinGet tam bir koruma sağlamıyor. Doğrulama süreci yüzeysel ve kaynak zaten ele geçirilmişse kötü amaçlı güncellemeler geçebilir. Pratikte CLI sürümü MajorGeeks gibi
    • Manifestteki SHA kontrolü tek başına değişiklik yapılmasını engellemek için yeterli olmayabilir. İmza doğrulamasının tam olarak nasıl çalıştığını merak ediyorum
    • Yine de Winget giderek iyileşiyor. Örneğin ImageMagick’in resmi site bağlantısı bozulduğunda Winget üzerinden indirme sorunsuz yapılabilmişti
    • Paket yöneticileri sayesinde yakın zamandaki Notepad++ hijacking olayında da zarar azaltılabildi. Geliştiriciler dağıtımı kendileri yapacaksa PKI yönetimi ve imza anahtarlarının ayrıştırılması gibi altyapı güvenliği konularına dikkat etmeli

  • Winget üzerinden kurulan sürümlerin (v1.63, v2.19) güvenli olup olmadığı endişe yaratıyor. GitHub manifestleri ve Winstall bağlantısı inceleniyor

  • Geçen ay FileZilla’yı hedef alan aynı grubun bu olayda da yer aldığı düşünülüyor. Bu kez sahte alan adı yerine resmi sitenin API katmanı hacklenmiş ve normal sitenin kötü amaçlı dosya dağıtması sağlanmış

    • Aslında FileZilla geçmişten beri reklam/spayware paketi tartışmalarıyla anılıyor. Belki de başlı başına bir tehdit sayılabilir

  • Ek teknik ayrıntılar vx-underground gönderisinde derlenmiş

  • Bu saldırı, teknik kullanıcıların güvendiği yardımcı araçları hedef alan sofistike bir girişimdi; ikili dosyanın kendisi değil, indirme bağlantılarını üreten API katmanı ana saldırı yüzeyi haline geldi