8220 hacker grubunun, güvenlik açıklarından yararlanmak için “kripto hırsızlığı” yapan kötü amaçlı yazılımlar dağıtarak hem Windows hem de Linux web sunucularını hedef aldığı biliniyor.
Bu grubun, kaba kuvvet ve RCE yoluyla saldırı gerçekleştirme yeteneklerini artıran bu işletim sistemlerinin kaynak koduna erişimi olduğu bildiriliyor.
Sekoia’daki siber güvenlik araştırmacıları yakın zamanda 8220 hacker grubunun yakın zamanda cephaneliğine iki önemli araç eklediğini keşfetti; bu araçlar “Hadooken” ve “K4Spreader”.
8220 hacker grubu, 2018’den beri kripto madencilik kötü amaçlı yazılımlarını dağıtmak için bulut ortamlarını hedef aldığı bilinen Çinli bir tehdit aktörüdür.
17 Eylül 2024’te Sekoia’nın Tehdit Tespit ve Araştırma ekibi, Oracle WebLogic balküpü aracılığıyla hem Windows hem de Linux sistemlerini hedef alan karmaşık bir siber saldırı tespit etti.
8220 Çetesi olduğuna inanılan saldırganlar iki kritik güvenlik açığından yararlandı:
- CVE-2017-10271
- CVE-2020-14883
Bu güvenlik açıkları, kimlik doğrulaması olmadan uzaktan kod yürütülmesine olanak tanıyordu.
Enfeksiyon zinciri, daha sonra Tsunami arka kapısını ve bir kripto madenciyi teslim eden K4Spreader kötü amaçlı yazılımını çalıştırmak için Python ve Bash komut dosyalarının dağıtılmasını içeriyordu.
Saldırgan, Windows sistemlerinde CCleaner64.exe adlı .NET tabanlı bir yükleyici aracılığıyla kripto madenci yüklemek için tasarlanmış bir PowerShell betiğini çalıştırmayı denedi.
Linux enfeksiyonu, Hadooken kötü amaçlı yazılımını dağıtmak, bulut koruma araçlarını devre dışı bırakmak ve SSH kaba kuvvet saldırıları yoluyla yanal hareket etmeye çalışmak için “c” ve “y” adlı komut dosyalarını kullandı.
Hem Windows hem de Linux enfeksiyonları, XMRig Monero kripto para madencisinin bir çeşidi olan PwnRig’in kurulumuyla sonuçlandı.
Saldırganlar belirli bir Monero cüzdanı (“46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ”) kullandı ve “51.222.111.116:80” gibi IP adreslerine sahip özel madencilik havuzlarından yararlandı. .”
Tsunami kötü amaçlı yazılımı, C2 için “İnternet Aktarma Sohbeti (IRC)” kullanan, sunucuları “c4k-ircd” gibi alan adlarında bulunan Linux tabanlı bir DDoS botudur.[.]pwndn’ler[.]pw” ve “oynat[.]sck-dns[.]cc.”
Bu saldırı, AquaSec tarafından 12 Eylül 2024’te bildirilen ve “ortak TTP’leri” ve “IoC’leri içeren” bir vakayla çok sayıda benzerliğe sahipti ve bu durum, 8220 Çetesi’nin olaya dahil olduğunu kuvvetle akla getiriyor.
Enfeksiyon zinciri “Hadooken” vakasıyla önemli paralellikler paylaşıyor; bu da ortak bir saldırganın, muhtemelen “8220 Çetesi”nin olduğunu gösteriyor.
Her ikisi de ilk erişim için benzer komut dosyalarını (“c” ve “y”) ve “lwp-download ikili dosyasını” kullanan “WebLogic sunucularını” hedefler.
Kötü amaçlı yazılım bu komut dosyaları aracılığıyla dağıtılır, “c” ana yükü (‘Hadooken’ veya ‘K4Spreader’) yükler ve “SSH yayılımını” dener, “y” ise “merkezi kötü amaçlı yazılımı” bırakır.
Her iki saldırı da “PwnRig cryptominer” ve “Tsunami botnet”i kullanıyor ve “hxxp://sck-dns” adresinden “c” betiğini indirmek için ‘crontab’ aracılığıyla kalıcılık sağlıyor[.]cc/c”.
“PwnRig” yükü aynı karmaları, proxy’leri (run.on-demand) kullanır[.]pw) ve vakalar arasında Monero cüzdanı.
Analiz, ‘Hadooken’ ve ‘K4Spreader’ın farklı olduğunu ancak “Go tabanlı” kötü amaçlı yazılımlarla ilişkili olduğunu öne sürüyor.
“Tsunami IRC” kanalı aracılığıyla kurban izleme, öncelikle “Oracle Cloud” gibi bulut hizmetlerinde “200-250” güvenliği ihlal edilmiş makineyi ortaya çıkardı.
Bunun yanı sıra, “Shodan taramaları” etkilenen bazı IP’lerin “Drupal” veya “Apache Struts” gibi savunmasız yazılımları barındırdığını gösterdi.
Coğrafi olarak, Asya ve Güney Amerika’daki kurban kümeleri, özellikle Brezilya, “K4Spreader” kodundaki “Portekizce işlev adlarından” önemli ölçüde etkilenmiş görünüyor.
Bu mağduriyet, Çin 8220 Çetesi’nin Brezilya’daki operatör genişlemesiyle ilgili bilinen faaliyetleriyle uyumludur.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri