Çin’deki İnternet Servis Sağlayıcıları (ISS) ve Amerika Birleşik Devletleri’nin Batı Kıyısı, uzlaşmış ev sahiplerine bilgi çalanlar ve kripto para madencileri yerleştiren kitlesel bir sömürü kampanyasının hedefi haline geldi.
Bulgular, aktivitenin veri açığa çıkmasını kolaylaştıran ve sistemlerde kalıcılık oluşturmanın yollarını sunan çeşitli ikili dosyaların verilmesine yol açtığını söyleyen Splunk Tehdit Araştırma Ekibinden geliyor.
Cisco’ya ait şirket, geçen hafta yayınlanan bir teknik raporda, tanımlanamayan tehdit aktörleri “tespit edilmeden kaçınmak için minimal müdahaleci operasyonlar gerçekleştirdi” dedi.
“Bu aktör ayrıca öncelikle komut dosyası dillerine (örn. Python ve Powershell) bağlı ve çalışan araçları kullanarak hareket eder ve değiştirir, aktörün kısıtlı ortamlar altında performans göstermesine ve C2 için API çağrıları (örneğin, telgraf) kullanmasına izin verir. [command-and-control] operasyonlar. “
Saldırılar, zayıf kimlik bilgilerini kullanan kaba kuvvet saldırılarından yararlandığı gözlemlendi. Bu saldırı girişimleri Doğu Avrupa ile ilişkili IP adreslerinden kaynaklanmaktadır. ISS sağlayıcısının 4.000’den fazla IP adresinin özel olarak hedeflendiği söyleniyor.
Hedef ortamlara ilk erişim elde ettikten sonra, saldırıların, kurbanın hesaplama kaynaklarını kötüye kullanarak ağ taraması, bilgi hırsızlığı ve XMRIG kripto para madenciliği yapmak için PowerShell üzerinden birkaç yürütülebilir dosyalar bıraktığı bulunmuştur.
Yük uygulamasından önce, güvenlik ürünü özelliklerini kapatmayı ve Cryptominer tespiti ile ilişkili hizmetleri sonlandırmayı içeren bir hazırlık aşamasıdır.
Stealer kötü amaçlı yazılım, ekran görüntüleri yakalama yeteneğinin yanı sıra, bitcoin (BTC), Ethereum (ETH), Ethereum (ETH), Binans zinciri BEP2 (EthBEP2), litecoin (TRON (TRX) gibi kripto para birimleri arayarak pano içeriğini çalmak için tasarlanmış bir klipser kötü amaçlı yazılımlara benzemektedir.
Toplanan bilgiler daha sonra bir telgraf botuna eklenir. Ayrıca enfekte makineye bırakılan, ek yükler başlatan bir ikilidir –
- Brute-Force saldırıları gerçekleştirmek için C2 sunucusundan bir şifre listesi (pas.txt) ve IP adreslerinin (ip.txt) listesini indirmek üzere tasarlanmış Auto.exe
- Masscan.exe, çoklu maskan aracı
Splunk, “Aktör, ABD’nin batı kıyısında ve Çin ülkesinde bulunan ISS altyapı sağlayıcılarının belirli CIDR’lerini hedefledi.” Dedi.
“Bu IP’ler, operatörlerin daha sonra açık bağlantı noktaları ve kimlik bilgisi kaba kuvvet saldırıları için araştırılabilen çok sayıda IP adresi taramasına izin veren bir Masscan aracı kullanılarak hedeflendi.”