GodDamn Fidye Yazılımı PoisonX Sürücüsü ile Güvenlik Yazılımlarını Devre Dışı Bırakıyor Yazılım

GodDamn Fidye Yazılımı PoisonX Sürücüsü ile Güvenlik Yazılımlarını Devre Dışı Bırakıyor

GodDamn fidye yazılımı, Microsoft tarafından imzalanan PoisonX çekirdek sürücüsü ile güvenlik yazılımlarını devre dışı bırakarak kurumsal ağları hedef

Siber güvenlik araştırmacıları, GodDamn adlı yeni bir fidye yazılımı ailesini tespit etti. Bu fidye yazılımı, savunma yazılımlarını etkisiz hale getirmek için PoisonX çekirdek sürücüsünü kullanıyor. Symantec'in Tehdit Avı Ekibi tarafından yayınlanan rapora göre, fidye yazılımı ilk kez 21 Mayıs 2026'da vahşi ortamda görüldü. Beast fidye yazılımının yeniden markalanmış bir versiyonu olduğu değerlendiriliyor. Beast ise daha önce Mart 2022'de ortaya çıkan Monster (Delphi tabanlı) fidye yazılımının gelişmiş bir sürümüydü. Broadcom'un siber güvenlik kolu, bu fidye yazılım ailelerinin arkasındaki geliştiriciyi Hyadina takma adıyla takip ediyor.

Haziran 2026'nın başlarında düzenlenen bir saldırıda, tehdit aktörlerinin uzaktan erişim için AnyDesk kullandığı ve fidye yazılımını dağıtmadan önce NirSoft tabanlı bir kimlik bilgisi toplama aracı kullandığı belirtiliyor. İlk erişim vektörü bilinmiyor. Kimlik avı aracı, yaygın web tarayıcıları, Windows Kimlik Bilgisi Yöneticisi, önbelleğe alınmış alan kimlik bilgileri, VNC oturumları, e-posta istemcileri, Wi-Fi profilleri ve canlı ağ trafiğinden hassas verileri çıkarmak üzere tasarlanmış.

Saldırıda ayrıca, Symantec ürünü gibi görünen bir kullanıcı modu savunma atlatma aracı ("symantec.exe") ve PoisonX çekirdek sürücüsü ("g11.sys") kullanıldı. Bu, 'kendi zafiyetli sürücünü getir' (BYOVD) saldırısı olarak bilinen yöntemle uç nokta savunmalarını devre dışı bırakıyor. Symantec Tehdit Avı Ekibi, "PoisonX sürücüsü biraz daha sıra dışı; geliştiricileri tarafından Microsoft'a imzalatılmayı başarmış kötü amaçlı bir sürücü gibi görünüyor ve şimdi fidye yazılımı saldırganları tarafından kullanılıyor" dedi.

PoisonX'in, The Gentlemen fidye yazılımı-hizmet-olarak (RaaS) operatörlerinin özel GentleKiller aracında kullandığı sekiz sürücüden biri olduğunu belirtmekte fayda var. Bu araç, iş ortaklarına şifreleyiciyi çalıştırmadan önce sistem savunmalarını zayıflatmak için veriliyor. Broadcom, "Zafiyetli sürücüler, saldırganın en güvenilir giriş yoludur. Yönetici ayrıcalıkları kazanan saldırgan, hedef makineye hatalı ancak geçerli imzalı bir sürücü bırakabilir. Sürücü imzalı olduğu için Windows onu otomatik olarak yükler" açıklamasını yaptı.

Detaylar ve Etkileri

Saldırıda ayrıca yanal hareket için PsExec kullanıldı, ardından ulaşılabilir her ana bilgisayara AnyDesk kuruldu ve yeniden başlatmalarda hayatta kalmak için otomatik başlayan bir Windows hizmeti olarak kaydedildi. Bazı makinelerde, AnyDesk kurulumunun tamamı sistem sürücüsünde önceden hazırlanmış bir PowerShell betiği ile gerçekleştirildi; bu, süreci hızlandırmak için yeniden kullanılabilir bir yükleyici kullanıldığını gösteriyor. Symantec, "Her ana bilgisayarda AnyDesk kurulumu tamamlandıktan sonra, saldırganlar çalışan AnyDesk işlemini sonlandırdı, kısa bir süre bekledi ve ardından makineyi yeniden başlattı. 2 Haziran sonu itibarıyla bu dağıtım sırası, hedef kuruluş içindeki en az 10 ana bilgisayarda tekrarlandı" dedi.

Siber güvenlik şirketi, GodDamn fidye yazılımının ilk kez 3 Haziran'da, ayrı bir organizasyonel birime ait ayrı bir ağ segmentinde tespit edildiğini belirtti. Burada dosyalar, Hyadina tarafından gerçekleştirilen diğer saldırılarda kullanılan ".God8Damn" uzantısı yerine, kurbanın adıyla yeniden adlandırıldı. CYFIRMA tarafından yayınlanan bir rapora göre, sızmanın sonunda bırakılan fidye notu, kurbanlardan e-posta veya qTox şifreli mesajlaşma uygulaması aracılığıyla iletişime geçmelerini istiyor.

GodDamn'in nispeten yeni keşfedilen PoisonX kötü amaçlı sürücü bileşenini kullanması, bu grubun savunma atlatma kabiliyetinde bir artışı temsil ediyor ve Hyadina'nın fidye yazılımını ve yeteneklerini aktif olarak geliştirmeye devam ettiğini gösteriyor. Kurumların, özellikle BYOVD saldırılarına karşı sürücü imzalama politikalarını sıkılaştırmaları ve uç nokta güvenlik çözümlerini güncel tutmaları öneriliyor.

Kaynak: thehackernews.com

Paylaş: