Siber güvenlik araştırmacıları, tehdit aktörlerinin kodu uzaktan yürütmek ve kurbanların bant genişliğini para kazanmak için kritik CVE-2024-36401 güvenlik açığından yararlandığı devam eden bir kampanyayı ortaya çıkardılar.
9.8 CVSS puanı olarak derecelendirilen bu uzaktan kod yürütme kusuru, saldırganların meşru yazılım geliştirme kitlerini (SDK) veya ağ paylaşımı veya konut vekilleri aracılığıyla pasif gelir elde eden değiştirilmiş uygulamaları dağıtmasını sağlar.
Yaklaşım, uygulama geliştiricileri tarafından kullanılan iyi huylu para kazanma stratejilerini taklit ederek, kullanıcı deneyimini ve uygulama elde tutmayı korumak için geleneksel reklamlardan kaçınır.
Bu kötü niyetli uygulamalar sessizce çalışır ve kullanılmayan bant genişliğinden yararlanırken, açık kötü amaçlı yazılım dağıtmadan minimum kaynaklar tüketir.
Geoserver güvenlik açığını hedefler
Mart 2025’in başından beri, saldırganlar internete maruz kalan Geoserver örneklerini taradı, Cortex Xpanse Mayıs 2025’in başlarında halka açık 3.706 halka açık sunucuyu tanımladı ve öncelikle Çin ve diğer bölgelerde geniş bir saldırı yüzeyini vurguladı.
Kampanya, 8 Mart 2025’te IP 108.251.152.209’dan ilk istismarlardan başlayarak, 37.187.74.75’ten özelleştirilmiş yürütülebilir ürünler getirerek aşamalarda gelişti.
Unit42 raporuna göre bunlar, kötüye kullanılan bir APP’nin (örn., A193, D193, E193) ve SDK’nın (örn., A593, C593) varyantlarını içeriyordu.
Mart ayının sonuna kadar, Dağıtım IP’nin kötü niyetli olarak işaretlendikten sonra taktikler değişti, yeni uygulama örneklerini durdurdu ve 1 Nisan’a kadar yeni bir IP’ye taşındı, 185.246.84.189.
Altyapı, 64.226.112.52’de başka bir dağıtım sunucusu ile Nisan ortasında daha da genişledi ve Haziran 2025’e kadar kalıcılığı korudu.
Exploit, JXPath’in Geotools’taki uzatma işlevlerinden yararlanır ve GetRuntime (). Exec () gibi ifadeler yoluyla keyfi kod enjeksiyonuna izin verir, WFS, WMS veya WPS hizmetlerinde GetPropertyValue gibi istekler aracılığıyla komut yürütmeyi kolaylaştırır.
Para kazanma taktikleri
Derinlemesine analiz, istismar zincirinin CVE-2024-36401 ile başladığını ortaya çıkarır.
Bu Stager, gizli dizinler oluşturan, ortamlar kuran ve yürütülebilir ürünleri gizlice başlatan ek komut dosyaları (örn., Z401, Z402) getirir.
Platformlar arası Linux uyumluluğu için DART ile inşa edilen ikili dosyalar, pasif gelir için bant genişliğini paylaşmak için meşru SDK’ları entegre eder, kaynak yoğun kriptominerlerden ziyade düşük profilli hizmetleri taklit ederek tespitten kaçınır.
Karşılaştırma, SDK’ların potansiyel olarak uç nokta korumalarını atlayarak değiştirilmemiş resmi sürümler olduğunu doğrular.
Mart-Nisan 2025’ten itibaren telemetri 99 ülkede 7.126 maruz kalan Geoserver örneğini göstermektedir ve Çin çoğunluğuna ev sahipliği yapmaktadır.
Azaltmak için kuruluşlar derhal yamalıdır. Palo Alto Networks’ün Gelişmiş Tehdit Önleme (İmza 95463), Gelişmiş Orman Fire ve Cortex XDR gibi araçları bu istismarlara ve yüklere karşı savunma sağlar.
Uzlaşma göstergeleri
| Tip | Değer |
|---|---|
| IP adresleri | 37.187.74.75:8080, 64.226.112.52:8080, 108.251.152.209, 185.246.84.189 |
| Örnek SHA256 Hashes | 89F5E7D66098AE736C39B36123ADCF55851268973E6614C67E3589E73451B24 (A101), 4E4A467ABE1478240CD34A1DEAEF019172B7834AD57D4F89A7C6C357F066FDB (A193), 7C18FE9DA63C86F696F9AD7B5FCC8292CAC9D499973BA12050C0A3A18B7BD1CC9 (A593), 915D1BB1000A8726DF87E0B15BEA77C5476E3C13C8765B43781D5935F1D2609 (Z593) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!