Saldırganlar SimpleHelp CVE-2026-48558'i Kullanarak TaskWeaver ve Djinn Stealer'ı Kullanıyor Windows

Saldırganlar SimpleHelp CVE-2026-48558'i Kullanarak TaskWeaver ve Djinn Stealer'ı Kullanıyor

Bilinmeyen bir tehdit aktörünün, daha önce bildirilmemiş iki kötü amaçlı yazılım ailesi olan TaskWeaver ve Djinn Stealer'ı sunmak için SimpleHelp'te y...

Bilinmeyen bir tehdit aktörünün, daha önce bildirilmemiş iki kötü amaçlı yazılım ailesi olan TaskWeaver ve Djinn Stealer'ı sunmak için SimpleHelp'te yakın zamanda açıklanan maksimum önem derecesine sahip bir güvenlik açığından yararlandığı gözlemlendi.

İzinsiz giriş, kimliği doğrulanmamış bir saldırganın keyfi kimlik talepleri içeren sahte bir belirteç göndererek tamamen kimliği doğrulanmış bir "Teknisyen oturumu" elde etmek için kullanabileceği OpenID Connect (OIDC) akışını etkileyen kritik bir kimlik doğrulama atlama güvenlik açığı olan CVE-2026-48558'in (CVSS puanı: 10.0) kötüye kullanılmasını içerir.

Blackpoint Cyber bir analizde, "TaskWeaver, jquery.js olarak sunulan ve node.exe aracılığıyla yürütülen, sabit bir yararlanma sonrası komut seti yerine şifrelenmiş, yeniden kullanılabilir bir yük dağıtım kanalı uygulayan, oldukça karmaşık bir Node.js yükleyicisidir." dedi. "Gözlemlenen ikinci aşama yükü Djinn Stealer, Windows, macOS ve Linux sistemlerini hedef alıyor."

Djinn Stealer, bulut platformları, kaynak kontrolü, paket kayıtları, altyapı araçları, yapay zeka geliştirme asistanları, tarayıcılar, SSH ve kripto para cüzdanlarıyla ilişkili kimlik bilgilerini toplamak için tasarlanmıştır.

CVE-2026-48558'in ayrıntıları, bu ayın başlarında kusuru keşfeden Horizon3.ai'nin, bunun genel OIDC veya Azure AD OIDC kullanacak şekilde yapılandırılmış sunucuları etkilediğini ve bunun SimpleHelp'in IdP iddialarını doğrulama biçiminden kaynaklandığını söylemesiyle ortaya çıktı.

Horizon3.ai güvenlik araştırmacısı Zach Hanley, "OIDC tipi kimlik doğrulamanın etkin olduğu birçok SimpleHelp dağıtımında, kimliği doğrulanmamış bir saldırgan yeni bir 'Teknisyen' kullanıcısı oluşturabilir ve kimliğini doğrulayabilir." dedi. "Bu Teknisyen, varsayılan olarak, yönetilen uç noktalara uzaktan erişim, komut dosyalarının yürütülmesi ve daha fazlası gibi ayrıcalıklı yönetim etkinliklerini gerçekleştirebilir."

"SimpleHelp sunucusu teknisyenler için MFA'yı zorunlu kılacak şekilde yapılandırılmış olsa bile bu sorun, saldırganın bu mekanizmayı atlamasına olanak tanıyor çünkü teknisyenler ilk oturum açtıklarında kendi MFA yöntemlerini kendileri kaydedebiliyor."

Blackpoint Cyber tarafından belgelenen saldırı zincirinde, Uzaktan İzleme ve Yönetim (RMM) yazılımındaki kusurun başarılı bir şekilde kullanılmasının, tehdit aktörünün halka açık bir sunucuda kimliği doğrulanmış bir "Teknisyen" oturumu elde etmesini sağladığı ve bunun daha sonra TaskWeaver ve Djinn Stealer'ı dağıtmak için kötüye kullanıldığı söyleniyor.

Araştırmacılar Nevan Beal ve Sam Decker, "Ele geçirilen RMM platformu, operatöre dosyaları aktarabilen ve sunucu aracılığıyla yönetilen sistemlerde komutları yürütebilen güvenilir bir yönetim kanalı sağladı" dedi.

TaskWeaver, sistemin parmak izini alabilen, uzak bir sunucuyla ("a.dev-tunnels[.]com") şifreli iletişim kurabilen ve Node.js çalışma zamanına yükseltilmiş erişimle ek JavaScript yüklerini alıp çalıştırabilen modüler bir Node.js yükleyicisidir. Son aşama, güvenliği ihlal edilmiş Windows, macOS veya Linux ana bilgisayarlarından değerli verileri çekmek için tasarlanmış bir bilgi hırsızıdır.

Hırsızın hedeflediği bilgilerin kapsamı şu şekildedir:

Web tarayıcılarında saklanan kimlik bilgileri, geçmiş ve yer imleri

AWS, Azure, Google Cloud, Oracle Cloud Infrastructure, Okta, Cloudflare, DigitalOcean, Linode, Heroku, Vercel, Demiryolu, Supabase, Pulumi, Terraform, HashiCorp Vault ve Consul ile ilişkili yapılandırma ve kimlik doğrulama verileri

GitHub CLI verileri

Git yapılandırması

SSH anahtarları

Docker kimlik doğrulaması

Dümen kayıt bilgileri

S3 ve MinIO istemci yapılandırmaları

Subversion kimlik bilgileri

Npm, pnpm, Yarn, NuGet, Cargo, Composer, Maven, Gradle, pip, PyPI, Conda, Bun, Ivy ve Scala Oluşturma Aracı için kimlik bilgileri

Anthropic Claude, Google Gemini, OpenAI Codex, Cline, OpenCode ve Kilo ile ilişkili yapılandırma, kimlik doğrulama, oturum ve proje verileri

Bitcoin, Litecoin, Dogecoin, Dash, Ethereum, Monero, Zcash, Exodus, Atomic Wallet ve Electrum ile ilişkili kripto para cüzdanları ve anahtar depoları

Linux sistemlerinde, kötü amaçlı yazılım ayrıca çalışan bir işlem hakkında bilgi içerebilecek "/proc//cmdline" ve "/proc//environ" sanal dosyalarını okumaya çalışır.

Parolalar, API anahtarları, erişim belirteçleri, veritabanı bağlantı dizeleri ve komut satırı bağımsız değişkenleri veya ortam değişkenleri aracılığıyla iletilen diğer hassas değerler gibi ss.

Bilgiler toplandıktan sonra bir TAR arşivine paketlenir, GZIP ile sıkıştırılır, TaskWeaver'da yerleşik bir RSA-2048 genel anahtarıyla korunan bir AES-256-GCM anahtarı kullanılarak şifrelenir ve saldırgan tarafından kontrol edilen altyapıya ("96.126.130[.]126:58942") sızdırılır.

Kampanya, teknolojinin kurumsal iş akışlarına yerleştirilmesiyle tehdit aktörlerinin yapay zeka (AI) destekli platformların peşine nasıl giderek daha fazla yöneldiğini ve yapay zeka asistanlarının hassas verilere erişme ayrıcalıklarını kötüye kullanmalarına olanak sağladığını gösteriyor.

Araştırmacılar, "Tek bir kimlik doğrulama geçişi, bulut platformları ve kod depolarından yapay zeka araçlarına, kripto para cüzdanlarına ve müşteri altyapısına kadar yönetilen sistemlerin erişebileceği her şeye giden bir yol haline geldi" dedi.

"Bir geliştirici veya yönetici iş istasyonundan erişilebilen kimlik bilgileri, orijinal uç noktanın kontrol altına alınmasından çok sonra bile üretim altyapısına, işlem hatlarına, kaynak kodu depolarına, dağıtım platformlarına, bulut kiracılarına ve müşteri ortamlarına giriş sağlayabilir."

CVE-2026-48558'in aktif olarak kullanılması, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA), bunu Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna eklemesine yol açtı ve Federal Sivil Yürütme Şubesi (FCEB) kurumlarının düzeltmeleri 2 Temmuz 2026'ya kadar uygulamasını gerektirdi.

Paylaş: