Kripto para madenciliği kötü amaçlı yazılımını sağlamak için tehdit aktörleri, Oracle WebLogic Server’da hem eski hem de yeni keşfedilen güvenlik açıklarından aktif olarak yararlanıyor.
Trend Micro tarafından yapılan son araştırmalar, Oracle WebLogic Server’daki güvenlik açıklarından yararlanmak için Python komut dosyalarını kullanan finansal olarak motive olmuş bir grup olduğunu belirledi.
Security-Enhanced Linux (SELinux) ve diğer işletim sistemi güvenlik özellikleri, işlevselliklerini bozmak için bu komut dosyaları tarafından devre dışı bırakılır. Kinsing kötü amaçlı yazılımı, geçmişte bir botnet oluşturma metodolojisinin parçası olarak savunmasız sunucuları taramak için kullanıldı.
Teknik Analiz
Daha eski bir güvenlik açığı olsa bile, kötü niyetli aktörler tarafından CVE-2020-14882’nin hala aktif bir silahı var, çünkü onu silahlandırarak mağdur kuruluşlarda hala aktif olarak bir yer ediniyorlar.
Konteyner ortamlarına karşı kampanyalara ek olarak, Kinsing oyuncuları da birkaç başka kampanyaya katıldı.
CVE-2020-14882, son saldırı dalgasının bir parçası olarak silahlandırılmış güvenlik açıklarından biridir ve CVSS puanı 9.8’dir.
Bu güvenlik açığı, iki yıldır var olan bir RCE kusurudur. Saldırganın yama uygulanmamış bir sunucunun kontrolünü ele geçirmesine ve kötü niyetli yükleri ve kodları dağıtmasına olanak tanır.
Geçmişte Monero madencisinin yanı sıra Tsunami arka kapısı bulaşmış Linux sistemlerinde bu güvenlik açığından yararlanan birden fazla botnet olmuştur.
Bir kabuk komut dosyası dağıtılarak kusurdan başarıyla yararlanıldı ve bu da kusurun başarılı bir şekilde kullanılmasına yol açtı. Daha sonra bir kabuk betiği yürütülür ve daha sonra bu kötü amaçlı yazılımı uzak bir sunucudan indirerek Kinsing kötü amaçlı yazılımının kalıcılığını sağlamak için bir cron işi kullanılır.
Aşağıdaki hesaplar tarafından çeşitli kanallarda bir dizi kötü amaçlı yük ve kötü amaçlı yazılımın dağıtıldığı iddia ediliyor:-
Aşağıda, dağıtılan tüm kötü amaçlı yüklerden bahsettik: –
- Rootkit’ler
- Kubernetes istismar kitleri
- kimlik hırsızları
- XMRig Monero madencileri
- Kinsing kötü amaçlı yazılım
Docker’ın alpineos görüntüleri kötü amaçlı olan hesaplar hakkında bilgilendirildiği gerçeğine ek olarak. Ve sadece kötü niyetli görüntünün bile 150.000’den fazla kez indirilmiş olması değil.
İş Yükü Güvenlik Modülleri
CVE-2020-14882’ye karşı savunmasız olan sistemlerin güvenlik açığını belirlemek için bir dizi İş Yükü Güvenliği modülü kullanıldı. Bu modüller şunlardı: –
- İzinsiz giriş önleme sistemi modülü
- Kötü amaçlı yazılımdan koruma modülü
- Web itibar modülü
- Etkinlik izleme modülü
Saldırı zincirinin tamamı ilginç çünkü saldırı zinciri SECP256K1 şifrelemesinin kırılmasını kolaylaştıracak şekilde tasarlanmış gibi görünüyor. Oyuncu, bu yöntemin yardımıyla herhangi bir kripto para cüzdanının anahtarlarını almayı başarırsa, bu ona herhangi bir kripto para cüzdanına erişim hakkı verecekti.
Temel olarak, bu plan, hedeflerin çok yüksek, ancak yasa dışı olan bilgi işlem gücünden yararlanmayı amaçlamaktadır. Daha sonra anahtarları almak için ECDLP çözücüyü çalıştırmak gerekir.
Bir kuruluş, bir AiTM saldırısının etkilerini azaltmak için halka açık REST API’lerini TLS ile yapılandırmalıdır.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap