CVE-2023-36025 — CVSS: 8.8 (Yüksek)

Windows SmartScreen Atlama — .url dosyaları aracılığıyla SmartScreen güvenlik kontrollerini devre dışı bırakma.

Zafiyet Detayları

CVE KimliğiCVE-2023-36025
CVSS Puanı8.8 / 10.0 — Yüksek
Yayın Yılı2023
Saldırı VektörüNETWORK
Etkilenen SistemlerWindows 10, 11, Server 2019-2022

Bu Zafiyeti Kullanan Malware ファミリーleri

  • Phemedrone
  • DarkGate
  • PikaBot

Toplam 3 malware ailesi bu güvenlik açığından yararlanmaktadır.

Zafiyet Açıklaması

Windows SmartScreen Atlama — .url dosyaları aracılığıyla SmartScreen güvenlik kontrollerini devre dışı bırakma.

Yama ve Azaltma Önerileri

  1. 信頼度lik güncellemesini derhal uygulayın — NVD: CVE-2023-36025
  2. Etkilenen sistemleri ağdan geçici olarak izole edin (yaması mümkün değilse)
  3. IDS/IPS kurallarını güncelleme yapılana kadar aktive edin
  4. Ağ trafiğini izleyin — olağandışı bağlantı girişimlerini bloklayın
  5. Yedeklerinizi doğrulayın ve güncel tutun
  6. Etkilenen sistemlerde tehdit avcılığı yapın

MITRE ATT&CK Haritalama

Bu zafiyet; T1190 (Halka Açık Uygulamaların Kötüye Kullanımı) ve T1203 (İstemci Yürütme Zafiyetleri) tekniklerine karşılık gelir.

Phemedrone — マルウェアプロファイル

Phemedrone Stealer C# .NET. KeePass Key3Database + ParseColdWallets crypto cold wallets. Fake WD Secure Utilities.

マルウェアの種類
Infostealer
プログラミング言語
C#
C2プロトコル
HTTP
標的システム
Windows

技術詳細

.NET, HTTPS C2 (Telegram bot da kullanilmis), browser stealer, kripto wallet scraper, Telegram/Discord/Steam stealer, clipboard monitor, screenshot, anti-sandbox

機能と挙動

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

C2サーバー (このファミリーで1台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
89.208.31.197 ip 443 HTTPS inactive NL

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
cvegüvenlik-açığıhighphemedronedarkgatepikabot