Araştırmacılar, süresi dolmuş alan adları gibi süresi dolmuş veya terk edilmiş altyapıya dayanan diğer arka kapılar içindeki terk edilmiş arka kapıları ele geçirerek yeni bir saldırı vektöründen yararlandılar.
Bu alanları satın alarak araştırmacılar, hükümetlere (Bangladeş, Çin, Nijerya), üniversitelere (Tayland, Çin, Güney Kore) ve diğer kuruluşlara ait olanlar da dahil olmak üzere, güvenliği ihlal edilmiş binlerce sisteme erişim elde etti.
Bu “otomatik pilotta kitlesel hackleme” yaklaşımı, güncel olmayan altyapıya sürekli olarak güvenmenin oluşturduğu önemli güvenlik risklerini ve saldırganların kendi kötü niyetli faaliyetleri için terk edilmiş sistemlerden yararlanma potansiyelini ortaya koydu.
Saldırganlar, istismardan başarıyla yararlanıldıktan sonra web sunucularına dağıtılan kod parçacıkları olan web kabuklarını kullanarak istismar sonrası faaliyetleri gerçekleştirebilir.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Komutları yürütebilen basit olanlar ve dosya yönetimi, kod yürütme, kendini kaldırma, arka kapı dağıtımı, FTP kaba kuvvet ve SQL istemcileri gibi işlevlere sahip daha karmaşık olanlar da dahil olmak üzere çeşitli web kabukları vardır.
Popüler bir web kabuğu olan R57shell, yeni konuşlandırılan kabuğun konumunu, saldırganların kabuğun kontrolünü onu dağıtan bilgisayar korsanından çalmak için kullanabileceği HTTP yönlendirme başlığı aracılığıyla yaratıcılarına sızdırır.
Ortak bir arka kapı, orijinal yazarın web kabuğunu çalıştıran herhangi bir ana bilgisayara erişmesine olanak tanır; çünkü bunlar, kullanıcı adı ve parolanın koda sabit kodlandığı bir c99shell arka kapısı örneği sağlar.
Kimlik doğrulama kontrollerini gerçekleştirmek amacıyla c99shell arka kapısı PHP_AUTH_USER ve PHP_AUTH_PW’yi kullanır.
Saldırganlar, sabit kodlanmış kimlik bilgisi değişkenlerinin üzerine yazmak için geçerli kapsam ile ilişkili değişkenlerin üzerine yazmayı amaçlayan @extract işlevinden yararlanma olanağına sahiptir.
Araştırmacılar internetten web kabukları topladı, gelen istekleri analiz etti ve APT37 tarafından kullanılan ve GIF resim getirme isteği kılığında bir işaret isteği gönderen bir arka kapı tespit etti.
Watchtowers Labs’a göre, güvenliği ihlal edilmiş 3900’den fazla benzersiz alan adı bu arka kapıyı kullanıyor ve Nijerya hükümetine ait bir web sitesi olan fhc.gov.ng dahil olmak üzere hükümet alanlarından gelen talepler tespit edildi.
Saldırgan, oturum açmak için şifre içeren bir web kabuğu kullandı; bu kabuk, şifreyi açık metin olarak bir kayıt sunucusuna iletir ve kodu farklı URL’leri işaret edecek şekilde değiştirir ancak yine de kayıt sunucusuna veri gönderir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!