Bilgisayar Korsanları, EDR Katilini Dağıtmak ve Güvenliği Atlamak için SonicWall SSLVPN Kimlik Bilgilerinden Yararlanıyor

Tehdit aktörleri, ağları ihlal etmek ve uç nokta güvenlik çözümlerini kör edebilen sofistike bir "EDR katili" dağıtmak için tehlikeye atılmış SonicWall SSLVPN kimlik bilgilerinden aktif olarak yararlanıyor. Şubat 2026 'nın başlarında Huntress tarafından analiz edilen bir kampanyada saldırganlar, iptal edilen bir Rehberlik Yazılımı (EnCase) adli sürücüsü kullanarak Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısını gerçekleştirmeden önce ilk erişimi sağlamak için geçerli VPN hesaplarını kullandılar. Bu teknik, kritik güvenlik süreçlerini çekirdek seviyesinden sonlandırmalarına ve standart korumaları etkin bir şekilde atlamalarına olanak tanır. Saldırı, tehdit aktörünün, kaba kuvvet saldırılarına olan ihtiyacı atlayarak, güvenliği ihlal edilmiş ancak geçerli kimlik bilgilerini kullanarak bir SonicWall SSLVPN'e kimlik doğrulaması yapmasıyla başladı. Huntress, 69.10.60 [.]250 kötü niyetli IP adresinden kaynaklanan başarılı girişi tespit etmiştir. Sadece bir dakika önce, günlükler, hesabın yeterli ayrıcalıklara sahip olmadığı farklı bir IP olan 193.160.216 [.] 221 'den başarısız bir portal oturum açma girişimini yakaladı. Saldırgan ağa girdikten hemen sonra saldırgan keşif başlattı. SonicWall IPS uyarıları, ICMP ping taramaları ve NetBIOS probları dahil olmak üzere yüksek hacimli etkinlik kaydetti. Saldırgan ayrıca, iç ortamı haritalandırdıkça 370 Syn/saniyeyi aşan trafik oluşturarak Syn taşkın davranışını tetiklemiştir. EDR Katil Yükü

Saldırının çekirdeği, kötü amaçlı bir çekirdek sürücüsünü dağıtmak için tasarlanmış 64 bitlik bir Windows çalıştırılabilir dosyası içeriyordu. Statik analizden kaçınmak için, kötü amaçlı yazılım yazarları bir kelime listesi ikame şifresi kullanarak sürücü yükünü gizleyen özel bir kodlama şeması uyguladılar. Standart şifreleme yerine, ikili, İngilizce kelimelerin belirli bayt değerlerini temsil ettiği 256 kelimelik bir sözlük kullandı, örneğin, 0x00 'e kod çözme "hakkında" ve 0x4D'ye "blok" gibi. Yürütüldüğünde, kötü amaçlı yazılım bu "metni" geçerli bir Windows PE dosyasına geri kodlar ve C:ProgramDataOEMFirmwareOemHwUpd.sys 'e bırakır.