GodDamn Fidye Yazılımı, PoisonX Sürücüsüyle Güvenlik Yazılımlarını Aşarak Sistemleri Ele Geçiriyor Siber Güvenlik

GodDamn Fidye Yazılımı, PoisonX Sürücüsüyle Güvenlik Yazılımlarını Aşarak Sistemleri Ele Geçiriyor

GodDamn fidye yazılımı, PoisonX çekirdek sürücüsüyle güvenlik yazılımlarını devre dışı bırakıyor. Symantec raporuna göre, Beast ve Monster ailesinin d

Siber güvenlik araştırmacıları, GodDamn adlı yeni bir fidye yazılımı ailesini tespit etti. Bu fidye yazılımı, güvenlik yazılımlarını etkisiz hale getirmek için PoisonX çekirdek sürücüsünü kullanıyor. Symantec'in Tehdit Avcılığı Ekibi tarafından yayınlanan rapora göre, GodDamn ilk kez 21 Mayıs 2026'da görüldü ve Beast fidye yazılımının yeniden markalaşmış bir versiyonu olduğu değerlendiriliyor. Beast ise daha önce Monster adıyla bilinen ve Mart 2022'de ortaya çıkan Delphi tabanlı bir fidye yazılımının gelişmiş bir sürümüydü. Broadcom'un siber güvenlik birimi, bu fidye yazılımı ailelerinin arkasındaki geliştiriciyi Hyadina kod adıyla takip ediyor.

Haziran 2026 başlarında düzenlenen bir saldırıda, tehdit aktörlerinin uzaktan erişim için AnyDesk kullandığı ve fidye yazılımını dağıtmadan önce NirSoft tabanlı bir kimlik bilgisi toplama aracı kullandığı bildirildi. İlk erişim vektörü bilinmiyor, ancak kimlik bilgisi toplayıcı, yaygın web tarayıcılarından, Windows Kimlik Bilgisi Yöneticisi'nden, önbelleğe alınmış etki alanı kimlik bilgilerinden, VNC oturumlarından, e-posta istemcilerinden, Wi-Fi profillerinden ve canlı ağ trafiğinden hassas verileri çıkarmak için tasarlanmış.

Saldırıda ayrıca, Symantec ürünü kılığına girmiş bir kullanıcı modu savunma atlatma aracı ('symantec.exe') ve PoisonX çekirdek sürücüsü ('g11.sys') kullanıldı. Bu, 'kendi güvenlik açığı olan sürücünü getir' (BYOVD) saldırısı olarak bilinen bir teknikle uç nokta savunmalarını devre dışı bırakmayı amaçlıyor. Symantec Threat Hunter Team, "PoisonX sürücüsü biraz daha sıradışı, çünkü geliştiricilerinin Microsoft tarafından imzalatmayı başardığı kötü amaçlı bir sürücü gibi görünüyor ve şimdi fidye yazılımı saldırganları tarafından kullanılıyor" dedi.

Teknik Analiz

PoisonX, The Gentlemen fidye yazılımı-hizmet-olarak (RaaS) operatörlerinin, şifreleyiciyi çalıştırmadan önce sistem savunmalarını bozmak için iş ortaklarına dağıttığı özel GentleKiller aracında kullandığı sekiz sürücüden biri. Broadcom, "Güvenlik açığı olan sürücüler, saldırganın en güvenilir giriş yoludur. Yönetici ayrıcalıkları elde eden saldırgan, hedef makineye kusurlu ancak geçerli bir imzaya sahip sürücü bırakabilir. Sürücü imzalı olduğu için Windows onu otomatik olarak yükler" ifadelerini kullandı.

Saldırı ayrıca yanal hareketi kolaylaştırmak için PsExec kullanımı ve ardından bu erişilebilir ana bilgisayarların her birine AnyDesk kurulumu ile karakterize ediliyor. AnyDesk, yeniden başlatmalara dayanacak şekilde otomatik başlayan bir Windows hizmeti olarak kaydediliyor. Bazı makinelerde, AnyDesk kurulumunun tamamı sistem sürücüsünde önceden hazırlanmış bir PowerShell betiği tarafından yönetiliyor, bu da süreci kolaylaştırmak için yeniden kullanılabilir bir yükleyici kullanıldığını gösteriyor.

Önemli Gelişmeler

Symantec, "Her ana bilgisayarda AnyDesk kurulumunu tamamladıktan sonra, saldırganlar çalışan AnyDesk işlemini sonlandırdı, kısa bir süre bekledi ve ardından makineyi yeniden başlattı. 2 Haziran sonuna kadar bu dağıtım dizisi, hedef kuruluş içindeki en az 10 ana bilgisayarda tekrarlandı" dedi. GodDamn fidye yazılımı ilk olarak 3 Haziran'da farklı bir organizasyonel birime ait ayrı bir ağ segmentinde tespit edildi ve dosyalar, Hyadina tarafından gerçekleştirilen diğer saldırılarda kullanılan '.God8Damn' uzantısı yerine kurbanın adıyla yeniden adlandırıldı.

CYFIRMA tarafından yayınlanan bir rapora göre, sızmanın sonunda bırakılan fidye notu, kurbanları e-posta veya qTox şifreli mesajlaşma uygulaması aracılığıyla iletişime geçmeye çağırıyor. Siber güvenlik şirketi, "GodDamn'ın nispeten yeni keşfedilen PoisonX kötü amaçlı sürücü bileşenini kullanması, bu grubun savunma atlatma yeteneğinde bir artışı temsil ediyor ve Hyadina'nın fidye yazılımını ve yeteneklerini aktif olarak geliştirmeye devam ettiğini gösteriyor" sonucuna vardı.

Uzmanların Görüşleri

Bu tehdit, BYOVD saldırılarının ne kadar etkili olabileceğini ve imzalı sürücülerin bile kötüye kullanılabileceğini gösteriyor. Kuruluşlar, güvenlik yazılımlarını güncel tutmalı, bilinmeyen sürücülerin yüklenmesini engellemeli ve yanal hareketi tespit etmek için ağ izleme yapmalıdır. Ayrıca, AnyDesk gibi uzaktan erişim araçlarının kullanımı sıkı politikalar ve çok faktörlü kimlik doğrulama ile kontrol edilmelidir.

Kaynak: thehackernews.com

Paylaş: