
Araştırmacılar, bugün aktif olan en kötü şöhretli fidye yazılımı operasyonlarından birini barındıran sunucuların gerçek kimliğini ortaya çıkardılar.
Tor Hidden Services aracılığıyla göreceli anonimlik ile çalışan Medusa Fidye Yazılımı Grubu, kendi altyapılarındaki güvenlik açıklarının sofistike bir şekilde sömürülmesi yoluyla kapağını havaya uçurdu.
Bu pozlama, TOR ağının anonimliği ile korunan siber suçlu operasyonların, operasyonel güvenlik hatalarından ziyade teknik güvenlik açıkları yoluyla tehlikeye atıldığı nadir bir örneği temsil eder.
Medusa Locker, 2019’da ortaya çıkmasından bu yana siber güvenlik manzarasında müthiş bir tehdit olarak kendisini kurdu.
Grup, son altı yılda yüzlerce belgelenmiş saldırı ile sağlık, eğitim ve üretim sektörlerinde kuruluşları hedeflemiştir.
Tipik modus operandi, fidye taleplerini ödemeyi reddeden kurbanlardan çalınan hassas verileri yayınladıkları ve birçok kuruluşa karşı etkili olduğu kanıtlanmış bir çift genişlemeli basınç taktiği oluşturdukları Tor tabanlı bir sızıntı sitesi işletmeyi içerir.
COVSEC araştırmacıları, Medusa’nın fidye yazılımı blog platformunda, TOR ağının sağladığı korumaları atlamalarına izin veren kritik bir güvenlik açığı belirlediler.
Güvenlik ekibi, bu yüksek şiddetli güvenlik açığından yararlanarak, gizli hizmetin gerçek IP adresini ortaya çıkaran bir ayrıcalık yükseltme saldırısı gerçekleştirebildi: 95.143.191.148.
Maruz kalma, Medusa’nın operasyonlarını destekleyen altyapı hakkında benzeri görülmemiş bir fikir vermektedir.
Sunucu, Rusya’da (AS49505) Selectel aracılığıyla yönlendirilen bir ağda barındırılır ve Openssh 8.9p1 ile Ubuntu Linux’u çalıştırır. Sunucu üç hizmet ortaya çıkarır: bağlantı noktasında SSH, 80 numaralı bağlantı noktasında HTTP ve 3000 bağlantı noktasında ek bir HTTP hizmeti.
Teknik sömürü detayları
Sömürü süreci, Medusa Grubu tarafından kurbanlarını sergilemek için kullanılan blog platformunda bir güvenlik açığından yararlandı.
.webp)
Belirli istismar kodu etik nedenlerle paylaşılmasa da, işlem, nihayetinde gerçek IP adresini doğrulamak için aşağıdaki komutun yürütülmesine yol açan bir sunucu tarafı isteği Apgenesi (SSRF) güvenlik açığı içeriyordu:-
curl -s https://ifconfig.me
Bu basit komut, tehlikeye atılan sunucuda yürütüldüğünde, soğan yönlendirme adresi yerine gerçek harici IP adresini döndürdü.
Araştırmacılar, bu bulguyu internete bağlı cihazları endeksleyen bir arama motoru olan Censys kullanarak doğruladılar.
Maruz kalan sunucu, başarılı dekanizasyona katkıda bulunan zayıf güvenlik konfigürasyonlarını gösterir.
En önemlisi, standart SSH bağlantı noktası, anahtar tabanlı kimlik doğrulama yerine şifre kimlik doğrulaması etkinleştirilmiş olarak açık kaldı ve 3000 bağlantı noktasındaki HTTP hizmeti, Medusa Locker Group’un kurban müzakere portalını doğrudan ortaya çıkardı.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy