23,000-dən çox kompüterdə antivirusların gizli şəkildə deaktivləşdirilməsi

Antivirusların gizli deaktivləşdirilməsi kiberhüquq mühitini silkələyir

Dragon Boss Solutions LLC adlı şirkət tərəfindən həyata keçirilən əməliyyat dünya üzrə 23,000-dən çox hostda antivirus proqramlarını gizli şəkildə deaktivləşdirir. Bu kampaniya 124 ölkədə yayılıb, infeksiyaların təxminən 54%-i ABŞ-dadır.

Hücumun texnologiyası və metodları

Huntress şirkətinin tədqiqatına görə, əməliyyat legitim kod-imzalama sertifikatından və standart yeniləmə mexanizmindən istifadə edir. PowerShell əsaslı payload təhlükəsizlik proqramlarını sistemdən silir, proseslərini dayandırır və yenidən quraşdırılmasını bloklayır. Payload SYSTEM imtiyazları ilə ClockRemoval.ps1 skriptini işə salır və antivirus proseslərini sistem başladıqda hər 100 millisekundda 20 saniyə ərzində məhv edir.

Payload əvvəlcə admin hüquqlarını yoxlayır, virtual maşınları aşkar edir və reyestrdə quraşdırılmış təhlükəsizlik proqramlarını sorğulayır. Daha sonra beş planlaşdırılmış tapşırıq və Windows Management Instrumentation (WMI) hadisə abunəlikləri yaradır ki, bu da sistem yenidən başladıqda və istifadəçi daxil olduqda davamlılığı təmin edir.

Hədəf məhsullar və təsir dairəsi

Əməliyyat Malwarebytes, Kaspersky, McAfee və ESET kimi antivirus proqramlarını hədəfləyir. Skript reyestr girişlərini silir, antivirus yeniləmə domenlərini 0.0.0.0 ünvanına yönləndirərək yenilənməni tamamilə bloklayır. Defender-in istisna siyahısına isə yalnız "DGoogle" və "EMicrosoft" kimi qovluqlar əlavə olunur ki, bu da əlavə payloadların yerləşdirilməsi üçün istifadə olunur.

Hüquq-mühafizə və qarşı tədbirlər

Əməliyyatın əsas yeniləmə domeni qeydiyyatdan çıxarılıb, lakin Huntress şirkəti həmin domeni qeydiyyatdan keçirərək sinkhole-a yönləndirib. 24 saat ərzində 23,565 unikal IP sinkhole-a müraciət edib, bu da infeksiyanın qlobal səviyyədə geniş yayıldığını göstərir.

İnsanların təhlükəsizliyinə təsiri

Bu kiberhücumlar universitetlər, hökumət qurumları, səhiyyə təşkilatları və digər sahələrdə ciddi təhlükə yaradır. 221 universitet və kollec, 41 əməliyyat texnologiyaları şəbəkəsi, 35 hökumət qurumu və 3 səhiyyə təşkilatı infeksiyaya məruz qalıb. Antivirusların deaktivləşdirilməsi nəticəsində istifadəçilər zərərli proqramlara qarşı müdafiəsiz qalır, şəxsi məlumatlar və kritik infrastruktur risk altına düşür.

Nəticə

Şarjah, BƏƏ-də yerləşən Dragon Boss Solutions-un bu əməliyyatı kiber təhlükəsizlik mühitində ciddi narahatlıq doğurur. Hüquq-mühafizə orqanları və təhlükəsizlik şirkətləri hücumu izləyir və qarşısını almaq üçün tədbirlər görür. İstifadəçilər isə antivirus proqramlarının yenilənməsinə və sistemlərinin təhlükəsizliyinə daha çox diqqət yetirməlidirlər.