Tehdit Analistleri, ünlü bir web uygulaması güvenlik açığı tarayıcısı olan Acunetix’in kırık bir sürümüne dayandığı iddia edilen kötü amaçlı bir araç olan “Araneida Tarayıcısı” hakkında endişe verici bulgular bildirdi.
Araç, saldırgan keşif, kullanıcı verilerinin kazınması ve istismara yönelik güvenlik açıklarının belirlenmesi de dahil olmak üzere yasa dışı faaliyetlerle ilişkilendirilmiştir.
“Araneida Tarayıcısı” Telegram gibi platformlarda satılıyor ve tehdit aktörleri tarafından aktif olarak kullanılıyor.
Araneida’ya bağlı Telegram kanalları, altı ayda 30.000’den fazla web sitesinin ele geçirilmesi de dahil olmak üzere büyük siber istismarlarla övünüyor.
Yakın zamanda yapılan bir araştırma Araneida Tarayıcısını Ankara merkezli bir Türk yazılım geliştiricisine bağladı.
Analistler ayrıca Mandarin dilinde giriş panellerine sahip başka bir kırık Acunetix tabanlı aracın kullanıldığı paralel bir operasyonu ortaya çıkardılar ve bu da Çin’in tehdit aktörlerinin olaya dahil olduğunu gösteriyor.
Arka Plan ve İlk Keşif
Araştırmacılar, ortak bir kuruluştan önceki siber saldırılarla bağlantılı bir IP adresini içeren olağandışı tarama faaliyetleri hakkında istihbarat aldıktan sonra araştırmalarını başlattı.
“Araneida – WebApp Tarayıcı” olarak tanımlanan tarayıcı, alan adı üzerinden satılıyor [araneida(.)co]Şubat 2023’te oluşturuldu.
Araştırma, aracın kırık Acunetix yazılımının bileşenlerini kullandığını doğruladı.
Acunetix’in ana şirketi Invicti ile ortaklık kuran Silent Push, meşru Acunetix tarayıcısının etkilenmediğini doğruladı. Bu saldırı, Invicti’nin katılımı olmadan yetkisiz, kırılmış yazılım sürümlerinden yararlanır.
Araneida Tarayıcı, saldırı yetenekleri nedeniyle siber suçlulara geniş çapta pazarlanmaktadır:
- Kurulum Süreci: Kullanıcılar, tarayıcıyı yüklemek için bir Windows yürütülebilir dosyası alırlar. Araç entegre edildikten sonra web sitelerini agresif bir şekilde tarar ve potansiyel istismara yönelik güvenlik açıklarını belirler.
- Kötü Amaçlı Özellikler: Genellikle CMS platformlarına bağlı çeşitli uç noktalara istekte bulunarak gürültülü trafik oluşturur.
- Telegram Kanal Etkinliği: Araneida’nın Telegram topluluğunun yaklaşık 500 üyesi var ve aracın yasadışı kullanımlarını aktif olarak destekliyor. Üyeler, web sitelerinin ele geçirilmesi, çalınan kimlik bilgileri ve spor arabalar gibi lüks eşyalara harcanan karlarla ilgili başarı öykülerini paylaşıyor.
Çinli Tehdit Aktörü Bağlantıları
Araştırmacılar, Mandarin oturum açma portallarını ve eski Acunetix SSL sertifikalarını içeren IP’lerde barındırılan kırık Acunetix tarayıcılarını tespit etti.
Geçmişi 2021’e kadar uzanan bu portallar, “FlkVPN” gibi meşru araçlar gibi görünen kötü amaçlı yürütülebilir dosyalar için indirme bağlantıları sunuyor.
Kesin bir bağlantı kurulmamış olsa da araştırmacılar, bilinen bir Çin siber casusluk grubu olan APT41’in olayla karıştığından şüpheleniyorlar.
APT41’in, bu yılın başlarında ABD Sağlık ve İnsani Hizmetler Bakanlığı tarafından hazırlanan raporlarda da vurgulandığı gibi, Acunetix’i keşif çalışmaları için kullanma geçmişi var.
Bu Acunetix’in kötüye kullanımının ilk örneği değil.
- 2020’de İranlı bilgisayar korsanları bu aracı kullanarak ABD eyaleti ve seçim web sitelerini hedef aldı.
- Mart 2024’te Lumen, kötü amaçlı komuta ve kontrol sunucuları arasındaki iletişimi kolaylaştıran bir Acunetix tarayıcısı tespit etti.
- APT41’in hedef odaklı kimlik avı ve SQL enjeksiyon saldırıları için Acunetix ve diğer keşif araçlarına da güvendiği bildirildi.
Araştırmacılar, kuruluşların kırılmış Acunetix araçlarından kaynaklanan riskleri azaltmalarına yardımcı olmak için eyleme dönüştürülebilir istihbarat geliştirdi.
Silent Push, Araneida Tarayıcı altyapısıyla ilişkili etki alanlarını ve IP’leri içeren ayrıntılı yayınlar sağlar.
Acunetix gibi kırılmış siber güvenlik araçlarının kullanılması, teknolojinin iki uçlu doğasının altını çiziyor. Acunetix gibi araçlar web güvenliğini artırmak için tasarlanmış olsa da bunların kötü niyetli aktörler tarafından kötüye kullanılması önemli tehditler oluşturur.
Araneida’nın bir Türk yazılım geliştiricisiyle olan bağlantısının ve siber suçlular arasındaki artan etkisinin ortaya çıkarılması, bu tür faaliyetlerle mücadele için acil dikkat ve işbirliğine dayalı tehdit istihbaratı paylaşımı ihtiyacını ortaya koyuyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin