Kötü amaçlı yazılım depolama, dağıtım ve komuta ve kontrol (C2) işlemleri, güncel siber güvenlik tehditlerine yönelik bulut hizmetlerinden yararlanmak için giderek daha fazla kullanılıyor.
Ancak bu, tespit sürecini ve tüm önleme çabalarını karmaşık hale getirir.
FortiGuard Labs’daki güvenlik araştırmacıları, UNSTABLE ve Condi gibi botnetlerin, kontrol ve depolama alanı ele geçirmek için Linux bulut platformlarını aktif olarak kullandığını gözlemlediler.
Hackerlar Linux Sunucularına Saldırıyor
Ayrıca tehdit aktörleri, saldırılarını güçlendirmek için birden fazla güvenlik açığından yararlanarak JAWS web sunucuları, Dasan GPON ve Huawei HG532 yönlendiricileri, TP-Link Archer AX21 ve Ivanti Connect Secure dahil olmak üzere çeşitli cihaz ve sistemleri de hedef alıyor.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
JAWS Web Sunucusu RCE güvenlik açığı (CVE-2016-20016), belirli bir IP’den indirici komut dosyasını indiren bir Mirai çeşidi olan UNSTABLE Botnet’in başlangıç erişim noktasıdır.
Botnet üç ana modül içerir: tarayıcı, DDoS saldırısı ve istismar. Sabit kodlanmış kimlik bilgilerini kullanarak çeşitli güvenlik açıklarını ve kaba kuvvetleri tarar; ayrıca DDoS tekniklerini kullanarak saldırmak için dokuz yönteme sahiptir.
Bu botnet’in yapılandırması XOR kodludur ve on üç mimariyi destekler.
Saldırı tekniklerinin seçimi, C2 sunucusu tarafından verilen komutlara göre belirlenir; bu, botnet’in ne kadar çok yönlü olduğunu ve potansiyel etkisini göstermeye yardımcı olur.
Condi DDoS botnet tarafından trembolone.zapto.org’dan (45.128.232.90) kötü amaçlı yazılım dağıtmak üzere cihazlara bulaşmak, CVE-2023-1389’un kötüye kullanılmasından kaynaklanmaktadır.
FortiGuard Labs, 45.128.232.229 (saldırı kaynağı ve C2 sunucusu) ve 209.141.35.56 (kötü amaçlı yazılım depolama) olmak üzere iki ana IP adresini ortaya çıkardı. Farklı Linux mimarileri için botnet tarafından kullanılan çeşitli DoS araçları vardır.
Komut dosyası C2 sunucusuna bağlanır, çalışan işlemler hakkında bilgi toplar ve onu geri iletir.
Bu kurulum sırasında, bulut tabanlı C2 altyapısında ayrı bir kötü amaçlı yazılım depolama alanı kullanılarak, enfeksiyon aşamalarına geçilmeden önce bir cihazın enfekte olup olmadığı kontrol edilmiş gibi görünüyor.
Skibidi kötü amaçlı yazılımı iki güvenlik açığına dayanıyor: “TP-Link Archer AX21’deki CVE-2023-1389” ve “Ivanti Connect Secure’daki CVE-2024-21887.” Linux’un saldırıya uğraması için doğru mimariyi çeken bir komut dosyası kullanır.
Kötü amaçlı yazılım, süreç çatallama, dize kodlama ve süreç adı manipülasyonu gibi taktikler kullanarak tespit edilmekten kaçınır.
Kötü amaçlı yazılım, Komuta ve Kontrol (C2) sunucusuna bağlanıyor, üzerinde meydana gelen sistem olaylarını izliyor ve kendisine raporlar gönderiyor.
Operasyonları için bulut hizmetlerinden yararlanan bu yeni kötü amaçlı yazılım türü göz önüne alındığında, kuruluşların bulut tabanlı tehditlere karşı savunmalarını artırmaları gerektiği açıktır.
Bu tür karmaşık siber tehditlerin önlenmesi için düzenli yamalardan ve ağ bölümlendirmesinden oluşan çok katmanlı güvenlik mekanizmalarının uygulanması gerekmektedir.
IoC’ler
C2:-
- 45[.]128[.]232[.]15
- 45[.]128[.]232[.]90
- 45[.]128[.]232[.]229
- 45[.]128[.]232[.]234
URL’ler: –
- hxxp://45[.]128[.]232[.]15
- hxxp://45[.]128[.]232[.]90
- hxxp://45[.]128[.]232[.]229
- hxxp://209[.]141[.]35[.]56/alanlar
- hxxp://45[.]128[.]232[.]234
Dosyalar:-
- d5e81e9575dcdbbaa038a5b9251531d8beccedc93bd7d250a4bb2389c1615cd6
- 6226e896850de8c5550b63481b138067582ebf361f7c5448d9d0596062150d89
- 4c2dcd13685f24800b73856d1f3ec9a2c53c2b5480a9c10b73035a43df26c2e8
- 31914b317ba6a44a9d3acb99979ec8c163bef8667b0ae41524e335847d70afb0
- 5fbfc4c8204309e911d22d3b544773f8d4f9ab2edc71f8967bbdcce6cbc834ca
- 53daa1e4c2f5c11a75989334c2a0227689509606aeda9d7ab11dd200ee6138c6
- a9690df4542f28fc4e3b9161b9f8d685d4ce8753bfd9b1f5c8aacd6aa4bef873
- fb86bb0863d15ac65a916979052220f755765eb0d5bc4c1c47e34762738d2311
- cd05eaa2b01ec1a4880839628d1c6e3bed9045478cacbfb88f14d1937ccf667b
- c88da56b348f8d89b5ab99a710de7131bdbc2f1dba4bb9809b1b3fd27322630e
- 83a2608a93b643f68ab3dcfccf8de7b13394cc214a78fa59b6867e47fc56928c
- 3660fbe90420f60664e68859de918a5c592dd33024f69bebff8bb77ab41b8fca
- 75b594a20110e487e35ec4590a5211a425119cdf0fea6fcf030ee20cb548b7e5
- ef2e57a5992d85ea2bfb5c5645f8b361dcd5c49eede38185a7b99ec00c287550
- 2e69d9942a4c0d6d0294d038263f2d12f3a5f6aef8d72279b01e025d32addab2
- 1a8508f62447e5ee624866b571a29cedc369d6ee8182782f32a75dcd58494d8c
- 305e0eb9b815dddd40d73f4464946a0ec21866b7727e4fe073692bf82bb46936
- 0092b27bee2df9536e8aff8948a1007ed1eb03f0e12e0348b72a113e7d4cb585
- 65f2850892365a4d6bafc303ed04379bef3b41a85336e274f9348603105d2f37
- c569eb7f33dcec3e6cdcfee7195202813fda6b7bf9ecb786a4a909d6745cbbff
- 5110f8af13cdd872b904784d2aec75031c663baad01d68b5f05daa950d18ced3
- eec122d6480803bcdd2c6906b0ae35bcffaf6bf5117dac8c7b2621f0b98b68ea
- 9f14cdea1b41ac1c7251e3f2d4186e12d480d108942bc8f1f7bcac133ed88ccc
- 5a0a8de050cc8ad2f9af41e4018b0317afc39c571f23bc9cfa115c6558205722
- eb9ba3171a98dc543cbc599eb6ab9aa3a5a47cc6931afe511fa839c6a5fb889c
- 1825c787c308d3cb1125d416025af8c8344a158f0a0b3467df6c0c875d2d8800
- eb926f93bdd9b38d44d2239b4ec9c1d45762f850bee80cf9556b23372b6f0639
- 8fb6110b2114e7786b1d4e7f600a08de0a25432417f863d9663d576a3c895e86
- dc87ff82199cb60a8bcf59d4f8c0a706bf10051d0c15a911d37d1cda8fcf5f9e
- 1816c473ba94f4740c0931e118d038ecb0733f8ffb7cbb74dedc7b78952f8318
- d4dbd379f914ff5ba40c1aac1be37602e4cde687e47cfd7793cb10192617f4af
- d034664f627af11bd2a34ba1b228b5a6841309caabfd72a731bbd4724d947e27
- 4cc2110f89afac1de0c1989d0af07f8879003cac0803660f37cf394a0027db69
- bd42e67e6238dfec0b7786797733c54ae1d92fe0e883758dddea779e113b5271
- bd42e67e6238dfec0b7786797733c54ae1d92fe0e883758dddea779e113b5271
- e758c4428a590519a281344a31f236146c996c784433fbe82eee009dd922516c
- 3a3581da268d0fdb8c8027e261b682b07b6715c62fbf2c8aca301b7e8dd9d637
- 6e21e400928f24630339441f6da0f3f1b66860bf480a9f5af20482878b686189
- 8363ecc977d426f0e922abbeb4f1e8ed06397c0b6951dd75233016d3b5af58c
- e511f5c8fc0bd713dc9b9742e8c682ba66177bb617e9118f84b150cf6ff4a07f
- ddcb420c4141760feed2fc8c76425b72ab111d271385040c1446f6ab3993c6d7
- 2b526e5ac01916d74e7aa88770102a8f34d4c57cea7a4e45c501331670635e26
- 666eed520d2b430e1016eec555c0cd125912f9a8f7590d77c286eff52416fbaf
- ba4229f5e44c378ae293b58139233a9bfbecbfd22fb51e05f74de38b186a071c
- c376db6e6f6905113e7beb1f14d8e5a44b8374a959eefd0f5d25ab0f3cbabee2
- ae999de92c369e53a3287ab034f2839367b44f7fd82d6ed56a5700c22ed44635
- e94b6b99fae4dc8e5b0796c877ed01bf25f77ccab95fb43d24abed00e0f8a15a
- 8fcb5c4c5306f3e7ffa2a47dedaddc108c77ef8ef48ec0980a0c441333e0a18b
- 34f653119e418621c1cbfe7cf0614ea62e9a98dc345e4d7408eea96a08d3ac0d
- a51333460fb711e0b172b6e4893d5bca6b9996f240b450fdaa5cbf14511c9e27
- 90a43ca83efb2d460b86ff897b1bc657170b6c79c2c804610cdfca8f24adc71e
- c5b6320925963ca6d5439dca7154c526c3a26500e204b48ff30a50c3a1b875ad
- e7d87e68265a9a324d76759cca4f613c28c590b36490c8c65ee3d17918e5d3ec
- 2867b3fd3c840aa9c868a88a5f6d417a09e4158f8209f0450a07eeb7e99ba4c8
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free