Son zamanlarda, Cloudflare’in WARP servisini kullanarak, hassas internet servislerini hedef alan çeşitli kampanyalar gözlemleniyor.
Cloudflare WARP’ı bir saldırgan için kullanmanın birincil avantajı muhtemelen sağladığı artan anonimlik ve Cloudflare ile ilişkili trafik etrafındaki şüphenin azalmasıdır.
Cloudflare WARP, Cloudflare’in uluslararası omurgasını kullanarak kullanıcı trafiğini “optimize eden” bir VPN’dir. Bu ücretsiz bir hizmet olduğundan, herkes kişisel kullanım için indirebilir ve kullanabilir.
Aslında WARP, bağlantınızı hızlandırmak amacıyla trafiğinizi en yakın Cloudflare veri merkezine yönlendirmek için yalnızca özel bir WireGuard uygulaması kullanır.
“Gözlemlenen saldırılar, saldırganın taşıma ve uygulama katmanlarını kontrol etmesiyle Cloudflare’in CDN’si yerine yalnızca doğrudan IP adreslerine bağlanıyor. Bu nedenle, saldırganların IP’sini belirlemek mümkün değil”, Cado Security araştırmacıları Cyber Security News ile paylaştı.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
SSWW Kampanyasına Genel Bakış
İlk erişimi elde etmek için Cloudflare WARP kullanan SSWW kampanyası, açığa çıkmış Docker’ı hedef alan benzersiz bir kripto para korsanlığı girişimidir.
Ancak, düşürülen yükün bir önceki güne, 20 Şubat 2024’e ait Son Güncelleme başlığına göre, Cado’nun honeypot altyapısına yönelik ilk saldırı o yılın 21 Şubat’ında keşfedildi.
Bu muhtemelen şu anki kampanyanın başlangıcıydı.
Saldırıyı başlatmak için yükseltilmiş izinlere ve ana bilgisayar erişimine sahip bir kapsayıcı oluşturuldu. Daha sonra, saldırgan yeni oluşturulan kapsayıcı içinde komutları yürütmek için bir Docker VND akışı oluşturur.
SSWW betiği oldukça basittir ve rakip madencilerin systemd servislerini durdurmaya çalışmak, SELinux’u devre dışı bırakmak, eğer etkilenmişse kampanyayı sonlandırmak ve drop_caches ile genel XMRig optimizasyonlarını etkinleştirmek gibi kurulum görevlerini gerçekleştirir.
Gömülü yapılandırmayla bir XMRig madencisini indirir ve .system işlemini gizler.
Araştırmacılar, “Cloudflare WARP’ı kullanmak saldırgana bir miktar anonimlik sağlarken, saldırıların kaynaklandığı IP’lerin tutarlı bir şekilde Hırvatistan’ın Zagreb kentindeki Cloudflare veri merkezinden kaynaklandığını görebiliyoruz” dedi.
Cloudflare WARP’ın en yakın veri merkezini kullanacağı düşünüldüğünde, saldırganın tarama sunucusunun yerinin Hırvatistan olduğu anlaşılıyor. Öte yandan, merkezi Hollanda’da bulunan bir VPS sağlayıcısı C2 IP’lerini barındırıyor.
Araştırmacılar, WARP’ın anonimliği sonucunda Cloudflare trafiğinin tamamına izin veren bazı yanlış yapılandırılmış sistemlerin sızmış olmasının muhtemel olduğunu, ancak kötü amaçlı yazılımın bulaştığı tüm etkilenen bilgisayarlara erişim sağlanmadığı için bunu kesin olarak belirlemenin imkansız olduğunu söyledi.
Cloudflare, “kötüye kullanımı önlemek için geçmiş verileri inceleyecek bir mekanizmalarının olmadığını açıkça belirtti” ve kullanıcıların kötüye kullanım formunu kullanarak saldırıları bildirmelerine olanak sağlayan bir yol sunmuyor gibi görünüyor.
Araştırmacılar, “Daha önce yaygın olarak kötüye kullanılan VPS sağlayıcılarından kaynaklanan birçok SSH kampanyasının artık Cloudflare WARP’ı kullanmaya geçtiği görülüyor” dedi.
En son CVE-2024-6387’nin şu anda yaygın olarak kullanıldığı bildiriliyor.
Bir saldırgan, aşırı güvenen güvenlik duvarlarından yararlanarak, normalde savunmasız SSH sunucularına erişimi olmayan kuruluşları hedef almak için Cloudflare WARP aracılığıyla bu açığı kullanabilir.
Öneri
- Güvenlik duvarınızda 104.28.0.0/16 adresinin engellenmediğinden emin olun.
- Derinlemesine savunma stratejisini benimseyin ve SSH gibi hizmetlerin güncel olduğundan ve güçlü kimlik doğrulamasına sahip olduğundan emin olun.
- Docker’ı, güvenlik duvarının arkasında bile olsa, internete açmayın.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo