Bilgisayar korsanları, tinyproxy ve şarkı kutusu gibi proxy araçlarını yüklemek için, özellikle zayıf SSH kimlik bilgileri olan kötü yönetilen Linux sunucularından yararlanıyor.
Ahnlab Güvenlik İstihbarat Merkezi (ASEC), savunmasız SSH hizmetlerini taklit eden balpotlar aracılığıyla bu müdahaleleri yakından izliyor.
Bulguları, saldırganların kötü niyetli niyet için meşru araçları yeniden kullandıkları ve uzlaşmış sistemleri anonimlik veya kâr için vekalet düğümlerine dönüştürdüğü sofistike bir strateji ortaya koyuyor.
Bu saldırılar, kamusal internete maruz kalan Linux ortamlarında güçlü güvenlik uygulamalarına yönelik kritik ihtiyacın altını çizmektedir.
Savunmasız Linux Sistemlerinde Proxy kurulumları
ASEC’in analizi iki farklı saldırı modelini vurgular. İlk senaryoda, saldırganlar zayıf kimlik bilgilerine sahip SSH honeypotları hedefleyerek, komutlar aracılığıyla alınan kötü amaçlı bir Bash komut dosyası dağıtmadan önce yetkisiz erişim elde eder. wget
veya curl
URL’lerden hxxps://0x0[.]st/8VDs.sh
.

Bu komut dosyası, paket yöneticilerini kullanarak hafif bir proxy sunucusu olan TinyProxy’yi yükler apt
– yum
veya dnf
sistemin işletim sistemine bağlı olarak.
Kurulum sonrası, komut dosyası TinyProxy Yapılandırma dosyasını değiştirir (tipik olarak /etc/tinyproxy/tinyproxy.conf
veya /etc/tinyproxy.conf
) erişim kontrol kurallarını kaldırarak ve “0.0.0.0/0’a izin ver” yönergesini ekleyerek.
Bu değişiklik, 8888 numaralı bağlantı noktasına sınırsız harici erişim sağlar ve enfekte sunucuyu etkili bir şekilde kötü amaçlı faaliyetler için açık bir proxy’ye dönüştürür.
Kalıcılık mekanizmaları, proxy’nin yeniden başlatıldıktan sonra bile aktif kalmasını sağlar ve saldırganlara sürekli sömürü sağlar.
Paralel bir durumda, saldırganlar VMESS-ARGO, vless gerçeklik, histeri2 ve TUICV5 protokollerini destekleyen açık kaynaklı çoklu protokol proxy aracı olan Sing-Box dağıtır.

Bu saldırılar sırasında gözlemlenen komutlar, kaynaklardan kurulum komut dosyalarını indirmeyi içerir. hxxps://raw.githubusercontent[.]com/eooce/sing-box/main/sing-box.sh
.
Başlangıçta ChatGPT veya Netflix gibi hizmetlere erişmek için belirli bölgelerdeki internet kısıtlamalarını atlamak için tasarlanmıştır, Sing-Box bu bağlamda istismar edilmektedir.
Saldırganlar, tehlikeye atılmış denizaşırı sanal özel sunuculara (VPS) yükleyerek, muhtemelen bu sunucuları yasadışı faaliyetler için kullanmayı veya proxy düğümlerine erişimden para kazanmayı amaçlamaktadır.
Hem tinyproxy hem de şarkı kutusu vakalarında ek kötü amaçlı yüklerin olmaması, potansiyel olarak diğer siber saldırıları gizlemek veya siber suçlara erişim satmak için proxy sunucuları ağı oluşturmak için odaklanmış bir niyet olduğunu göstermektedir.
Gelişmiş Linux Server güvenliği için acil çağrı
Bu olaylar, kötü niyetli amaçlar için meşru yazılımı sömürmenin rahatsız edici bir eğilimini vurgulamaktadır, bu da aletlerin kendileri doğal olarak kötü niyetli olmadığı için tespiti karmaşıklaştıran bir taktik.
Rapora göre ASEC, saldırganların yeraltı pazarlarında erişim hakları ticareti yaparak kimliklerini daha fazla saldırı veya kârda maskelemek için bu vekil düğümleri kullanabileceği konusunda uyarıyor.
Bu tür riskleri azaltmak için, sunucu yöneticileri güçlü, karmaşık şifrelere ve kaba kuvvet denemelerini önlemek için düzenli güncellemelere öncelik vermelidir.
Ayrıca, sistemleri güvenlik açıklarına karşı yamalı tutmak, yetkisiz erişimi kısıtlamak için güvenlik duvarlarının dağıtılması ve güncel güvenlik çözümleri kullanmak, açıkta kalan Linux sunucularının siber suç ağlarında farkında olmayan araçlar haline gelmesini korumak için temel adımlardır.
Uzlaşma Göstergeleri (IOC)
Tip | Değer |
---|---|
MD5 | 16D1DFA35D64046128290393512171CE |
MD5 | 35d79027834a3b6270455f59b54f2e19 |
Url | hxxps: // 0x0[.]ST/8VDS[.]sh |
Url | hxxps: // RAW[.]Githubusercontent[.]com/eooce/sing-box/ana/şarkı kutusu[.]sh |
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt