Hunt’taki siber güvenlik araştırmacıları, Supershell Komut ve Kontrol (C2) yükleri ve Linux Elf Kobalt Strike Beacon da dahil olmak üzere gelişmiş kötü amaçlı araçları barındıran bir sunucu ortaya çıkardılar.
Açık kaynaklı proxy yazılımı için rutin bir araştırmadan kaynaklanan keşif, teminatsız altyapının yaygın risklerini ve modern siber tehditlerin karmaşıklığını vurgulamaktadır.
Hunt’ın genel IPv4 alanının sürekli taranması, PS1 ve PS2 (UPX dolu süper-kalım yükleri) ve bir dosya etiketli test (bir kobalt grev işareti) ile birlikte açık kaynaklı bir proxy aracı olan IOX içeren açık bir dizin tanımladı.
.png
)
Sunucunun pozlaması, saldırgan altyapısına nadir bir bakış sağladı ve Hunt’un platformu zaten ilişkili IP’leri kötü niyetli olarak işaretledi.
Python tabanlı bir C2 çerçevesi olan Supershell, saldırganların uzlaşmış cihazları SSH aracılığıyla yönetmelerini, platformlar arası yükleri derlemelerini ve web tabanlı bir yönetici paneli dağıtmasını sağlar.
Kobalt grevi gibi araçlara kıyasla düşük görünürlüğüne rağmen, yetenekleri onu güçlü bir tehdit haline getiriyor. Hunt’ın 100’den fazla süpershell sunucusu tespiti, rakipler arasında artan benimsenmesinin altını çiziyor.
PS1 ve PS2 dosyalarının analizi, antivirüs motorları tarafından gorverse olarak tespit edilen süper dikme sırtlarına açılan UPX ile paketlenmiş Golang yürütülebilir ürünleri ortaya çıkardı. Bu analizden gelen temel bulgular şunları içerir:
- IP ile iletişim kurulan örnekler
124.70.143[.]2343232 numaralı bağlantı noktasında, aktif komut ve kontrol altyapısını gösteriyor. - Sunucu ayrıca, ağ güvenlik açığı eşlemesi için kırmızı takımlama aracı olan Varlık Keşif Deniz Feneri (ARL) barındırdı.
- Açık limanlar arasında ARL için 5003 ve Supershell’in yönetici paneli için 8888 dahildir ve saldırganların birleştirilmiş keşif ve sömürü aşamalarını önermektedir.
- Hunt’ın platformu, sunucunun ARL Giriş Arabirimi ve Supershell Gösterge Tablosunu vurguladı ve her ikisi de halka açık olarak erişilebilir.
Bu altyapı örtüşmesi, hedefleri tanımlamak, yükleri dağıtmak ve kalıcı erişimi sürdürmek için koordineli bir çabayı gösterir-gelişmiş kalıcı tehditlerin (APT’ler) ayırt edici özelliği.
Kobalt Strike Beacon ve Kayan Altyapı
UPX dolu bir Linux elf ikili olan test dosyası, bağlantı kuran bir kobalt grev işareti olarak tanımlandı. 8.219.177[.]40:443.
Supershell örneklerinin aksine, bu işaret, sertifika incelemesinden kaçınmak için bir taktik olan JQuery.com gibi maskeli bir sertifika kullandı. Araştırmacılar araştırdıklarında, sunucu devre dışı bırakıldı ve daha fazla analiz sınırladı.
Cobalt Strike’ın fidye yazılımı ve casusluk grupları ile ilişkisi, yükün niyetiyle ilgili endişeleri artırıyor.
Supershell ve kobalt grevinin bir arada bulunması, saldırganların saldırı başarısını en üst düzeye çıkarmak için araçları çeşitlendirebileceğini gösteriyor.
Hunt’ın tarihsel verileri, bu tür altyapıların genellikle yeni IP’ler altında yeniden ortaya çıktığını ve sürekli izleme ihtiyacını vurguladığını göstermektedir.
Siber güvenlik savunması için çıkarımlar
Bu keşif, tehdit istihbaratında açık dizin taramasının kritik rolünün altını çiziyor. Maruz kalan sunucuları haritalayarak Hunt, savunuculara ortaya çıkan tehditler hakkında gerçek zamanlı bilgiler sağlar.
ARL’nin Supershell ve Cobalt Strike ile entegrasyonu, rakiplerin katmanlı saldırılarla bir araya gelen keşif, sömürü ve iletişim sonrası takımlara olan güvenini de ortaya koyuyor.
Kuruluşlar için bulgular, İnternet’e dönük hizmetleri güvence altına almanın ve sertifika anomalilerinin izlenmesinin önemini vurgulamaktadır.
Hunt’ın kötü niyetli IP’leri ve yükleri kataloglayan kamu platformu, bu tür tehditlere karşı proaktif bir savunma mekanizması sunuyor.
Siber suçlular geliştikçe, araştırmacılar ve savunma ekipleri arasındaki işbirlikleri saldırgan altyapısını sökmek için hayati önem taşıyor.
Hunt’ın soruşturması sadece mevcut tehditleri ortaya çıkarmakla kalmaz, aynı zamanda gelecekteki tehdit avlama metodolojileri için emsal teşkil eder.
| IP adresi | Sağlayıcı | Gösterge |
|---|---|---|
| 123.60.58[.]50: 8888 | Huawei Huawei Public Bulut Hizmeti | Açık dizin |
| 124.70.143[.]234: 8888 | Huawei Huawei Public Bulut Hizmeti | Süper panel |
| 8.219.177[.]40: 443 | Huawei Alibaba Cloud (Singapur) Private Limited | Kobalt Strike C2 |
| Dosya adı | MD5 |
|---|---|
| PS1 | 91757C624776224B71976EC09034E804 |
| PS2 | 8E732006BD476CE820C9C4DE14412F0D |
| test | 770A2166FF4B5ECE03A42C756360BD28 |
| iox.exe | 0095C9D4BC45FED4080E72BD46876EFD |
| winlog2.exe | 8f2df5c6cec499f65168fae5318dc572 |
| Caginent.jar | 6dcfd2dd537b95a6b9eac5cb1570be27 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!