Kritik altyapıyı hedefleyen kötü niyetli aktörler tarafından kullanılan halka açık araç ve taktiklerin bir hazinesini ortaya çıkaran bir dizi yanlış yapılandırılmış web sunucusu ortaya çıkarıldı.
Hunt’ın gelişmiş tarama yetenekleri aracılığıyla keşfedilen bu açık açık dizinler, tehdit aktörlerinin düşük maliyetli, yüksek ödüllü yöntemlerle sömürdüğü önemli bir güvenlik atışını vurgulamaktadır.
Web’de gizli tehditlerin ortaya çıkması
En dikkate değer keşifler arasında Tayvanlı Otoyol Bürosu ve yerel bir veri merkezini hedefleyen bir sunucu, NMAP, SQLMAP ve BlueShell gibi siber saldırılar için kaldırılan sofistike ancak erişilebilir araçlara bir bakış sunuyor.
.png
)
Tayvan’daki 103.98.73.189:8080 IP adresinde bulunan birincil sunucu, HTTP başlıklarında belirtildiği gibi Python tabanlı bir SimpleHTTP sunucusu çalıştırdı.
İlk olarak 31 Mayıs 2024’te Hunt’ın platformunda ele geçirilen bu yanlış yapılandırılmış altyapı, operatör gözetimini düzeltmeden önce kritik dosyaları kısaca ortaya çıkardı.
İndirilen dosyaların analizi, meşru bir Tayvan Hükümeti web sitesi olan Freeway.gov.tw’nin alt alanındaki güvenlik açıklarını sorgulamak için SQLMAP kullanımını ortaya çıkardı.
Ayrıca, NMAP bir Tayvanlı veri merkezine bağlı A /26 ağında hedeflenen açık bağlantı noktalarını tarar.
Sofistike araçlar
Sunucunun dizinleri içinde, belirli CPU mimarileri (AMD Zen ve Intel gibi) için tasarlanmış komut dosyaları bulundu, bu da hedefleri hakkında derin bilgiye sahip metodik bir tehdit aktörünü gösterdi.
Ayrıca, BSServer-0530 ve BSSerVerFinal adlı Golang tabanlı dosyalar, sunucunun /anahtar klasöründeki sertifikalarla eşleşen Blueshell arka kapısına bağlanmıştır.
Bu tür bulgular, Tayvan’ın ötesinde diğer bölgelere ve kurumlara uzanan bu operasyonların arkasındaki teknik yetenek ve niyetin altını çizmektedir.
Rapora göre, Hunt’ın Açık Dizin Arama özelliği, 55 dosya “Gov.tw” alanlarına bağlı olarak Tayvanlı varlıkları hedefleyen benzer yanlış yapılandırmaların bir modeli ortaya koydu.
Biri 156.251.172.194’te biri de dahil olmak üzere ek sunucular, daha önce Kobalt Strike Cat (Eclecticiq tarafından bildirildiği gibi) kullanan bir Çin tehdit oyuncusuna bağlı ve Japonya ve başka yerlerde ev sahipliği yapan diğerleri, Kamboçya Dışişleri Bakanlığı, Ulusal Tayvan Üniversitesi Hastanesi gibi kuruluşlara karşı taramalar ve hatta Paraguay ve Thailand’daki hükümet ofislerine karşı taramalar ortaya koydu.
Güvenlik açığı taraması için AFROG, komut ve kontrol için Brute Ratel C4 ve alt alan numaralandırma için OneForall gibi araçlar, bu dizinlerde tekrarladı, bu da açık kaynaklı ve kolayca kullanılabilir saldırı yazılımlarına güvendi.
Chatgpt destekli bir web analiz aracı da dahil olmak üzere Çince senaryoları, bazı saldırganların coğrafi ve lingual kökenlerine daha fazla işaret ediyor.
Bu keşifler, tek bir yanlış yapılandırılmış sunucunun keşif verilerini açığa çıkarabileceği ve birden fazla kıtada saldırı planlarını ortaya koyabileceği ve hassas altyapıyı riske atabileceği bu tür tehditlerin küresel kapsamını vurgulamaktadır.
Dolayısıyla açık dizinlerin sürekli izlenmesi, bu gelişen siber tehditleri tam ölçekli ihlallere girmeden önce tespit etmek ve azaltmak için kritik bir savunma stratejisi olarak ortaya çıkmaktadır.
Uzlaşma Göstergeleri (IOC)
| IP adresi | Notalar |
|---|---|
| 103.98.73.189:8080 | Başlangıç dizin |
| 202.182.105.104:80 | Benzer açık sunucu |
| 35.229.211.35:8080 | Benzer açık sunucu |
| 45.8.146.29:80 | Benzer açık sunucu |
| 156.251.172.194 | Kobalt Strike Cat hakkındaki Eclecticiq raporuna bağlı |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin