Araştırmacılar, Linux cihazlarında CoinMiner yürütülebilir dosyasını dağıtan ve cihaz performansındaki gecikmeyi etkileyen üç kötü amaçlı PyPI (Python Paket Dizini) paketi belirledi.
Modüler even-1.0, driftme-1.0 ve catme-1.0 adlı bu paketler, yakın zamanda kurulan “sastra” adlı yazar hesabından geliyor ve Linux cihazlarında çalıştırılabilir bir CoinMiner dağıtan karmaşık, çok aşamalı bir saldırı planı sergiliyor.
“culturestreak” adlı bir paket kullanan bir kripto para madencisini başlatan önceki bir kampanya, bununla örtüşüyor gibi görünüyor.
Kötü niyetli bir Python paketi olan “Culturestreak”, yetkisiz kripto para madenciliği için sistem kaynaklarını ele geçiriyor. Kötü amaçlı paket, tespit edilmekten kaçınmak için rastgele dosya adları ve gizlenmiş kod kullanır.
Saldırı nasıl gerçekleştirilir?
Önceki “culturestreak” paketinin izinden giden bu paketler, yüklerini uzak bir URL’de barındırarak gizler, dolayısıyla kötü amaçlı kodlarının tespit edilebilirliğini azaltır. Daha sonra payloadın kötü niyetli işlemleri, farklı aşamalarda kademeli olarak serbest bırakılarak gerçekleştirilir.
Fortinet’e göre saldırının aşamalarını göstermek için örnek olarak Driftme-1.0 seçildi. __init__.py dosyasındaki “import” ifadesi zararlı etkinliği başlatır. Kötü amaçlı yükün başlangıç aşaması, işlemci.py modülünde bulunur.
Cyber Security News ile paylaşılan bilgiye göre, zararlı yükün ikinci aşamasında saldırgan tarafından iki kritik öğe “unmi.sh” betiği kullanılarak kullanıcının cihazına indiriliyor:
Bunlardan ilki, yüklü programı çalıştırmak için kullanılan bir yapılandırma dosyası olan “config.json”dur. Bu dosya kripto para birimleri için madencilik yapılandırmasını açıklamaktadır. Özellikle madencilik algoritmasını kurar.
CoinMiner yürütülebilir dosyası, yükün ikinci önemli kısmıdır. Saldırgan, uzak URL’den indirilip yürütülebilir olarak atanan yürütülebilir dosyayı arka planda çalıştırmak için “nohup” komutunu kullanır. Bu, terminal oturumu sırasında işlemin hala çalıştığını garanti eder.
Araştırmacılar, “En aldatıcı yön, saldırganın tüm bu değişikliklerin ~/.bashrc dosyasına eklenmesini sağlaması ve kullanıcı yeni bir Bash kabuk oturumu başlattığında bu kötü amaçlı etkinliğin yeniden etkinleştirilmesini sağlamasıdır” dedi.
Bu işlem sırasında coinMiner ELF dosyası elde edildi. “culturestreak” ile karşılaştırıldığında bu üç paket, varlıklarını gizlemek ve kötü amaçlı özelliklerini korumak için geliştirilmiş yöntemler göstermektedir.
Önemli bir gelişme, uzak sunucudaki “unmi.sh” dosyasının kötü amaçlı işlemler için hayati yönergeler içerdiği ikinci bir adımın eklenmesidir. Bu nedenle güvenlik topluluğu, kötü niyetli niyetin ince işaretlerini belirleme kapasitesinin gerekli olduğunu düşünmektedir.