Saldırganlar, verileri çalmak ve sürekli kötü amaçlı yazılım yüklemek için Apache ActiveMQ Güvenlik Açığı’ndan (CVE-2023-46604) yararlanıyor.
Apache ActiveMQ uzaktan kod yürütme güvenlik açığını kullanan Andariel tehdit grubunun geçen ay kötü amaçlı yazılım yüklediği tespit edildi. Başlıca hedefleri ulusal savunma, siyasi gruplar, gemi inşası, enerji, telekomünikasyon, BİT firmaları, üniversiteler ve lojistik firmalarıdır.
Araştırmacılar artık Ladon, NetCat, AnyDesk ve z0Miner’ı kuran yeni saldırılar keşfettiler.
Apache ActiveMQ Güvenlik Açığı’na Genel Bakış
Açık kaynaklı bir mesajlaşma ve entegrasyon modeli sunucusu olan Apache ActiveMQ’daki uzaktan kod yürütme güvenlik açığı, CVE-2023-46604 olarak tanımlandı.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC), Cyber Security News ile hazırladığı bir raporda, “Yamalanmamış bir Apache ActiveMQ harici olarak açığa çıkarsa, tehdit aktörü uzak bir konumdan kötü amaçlı komutlar yürütebilir ve hedef sistemi ele geçirebilir” dedi.
Güvenlik açığı saldırısı, sınıfı sınıf yolunda başlatmak için OpenWire protokolünde serileştirilmiş bir sınıf türünün değiştirilmesini içerir. Tehdit aktörü değiştirilmiş bir paket gönderdiğinde, duyarlı sunucu, sınıfa ilişkin XML yapılandırma dosyasını yüklemek için paketteki yolu (URL) kullanır.
Araştırmacılar, Ladon, NetCat, AnyDesk ve z0Miner gibi kötü amaçlı yazılımların yüklendiği en son saldırıları inceliyor.
– Ladon:
Çince konuşan tehdit aktörlerinin genellikle kullandığı araçlardan biri de Ladon’dur. Ladon, saldırı prosedürü için gerekli olan çeşitli özellikleri sağlar. Ters kabuk, tarama, ayrıcalık yükseltme ve hesap kimlik bilgileri hırsızlığı ana özelliklerden bazılarıdır.
Apache ActiveMQ hizmetinin güvenlik açığı bulunan bir sürümünün kullanıldığı belirlendikten sonra Ladon’u indirdiler ve PowerShell komutunu kullanarak ek komutlar çalıştırdılar.
Ters kabuk, ReverseTCP komutu kullanılarak yürütülür ve bunu yapmak için Netcat (nc) kullanılır.
AnyDesk ve Netcat
TCP/UDP protokolünü kullanan Netcat, bir ağ içindeki belirli hedeflere veri gönderip almak için kullanılan bir yardımcı programdır.
Hem Windows hem de Linux ortamlarıyla çalışır. Ayrıca ağ testi için çeşitli işlevler sağladığı için ağ yöneticilerinin bunu düzenli olarak kullandığı söylenebilir ancak tehdit aktörleri de bundan yararlanabilir.
Tehdit aktörü, yakın zamanda keşfedilen saldırıda Netcat’i yükledikten sonra AnyDesk’i de yükledi. AnyDesk kuruldu ve kurulum dosyası orijinal AnyDesk web sitesinin indirme URL’sinden alındı.
Araştırmacılar, “Tehdit aktörü, virüslü sisteme bağlandı ve yürütme sonrasında “–set-password” argümanı olarak iletilen şifreyi hedef sistemi uzaktan kontrol etmek için kullandı” dedi.
z0Miner
Son zamanlarda XMRig CoinMiner kullanılarak yapılan saldırı çabaları da gözlemlendi. XML yapılandırma dosyasına “paste.xml” adı verilir ve CMD kullanılarak PowerShell komutlarının nasıl çalıştırılacağına ilişkin bilgiler içerir.
İndirilebilecek PowerShell betiğinin kullanımı basittir ve hem yapılandırma dosyasını hem de XMRig CoinMiner’ı indirip çalıştırır.
Bilinen güvenlik açıklarından yararlanan saldırıları durdurmak için sistem yöneticilerinin, kullandıkları Apache ActiveMQ hizmetinin güvenlik açığı bulunan sürümlerden biri olup olmadığını doğrulamaları ve en son güncellemeleri yüklemeleri gerekir.
Son olarak, kötü amaçlı yazılım bulaşmasını önceden önlemek için V3’ü en son sürüme güncellerken dikkatli olunmalıdır.