Binlerce PHP tabanlı web uygulamasının bütünlüğünü tehdit eden önemli bir siber güvenlik tehdidi ortaya çıktı.
Imperva Tehdit Araştırması’nın bir raporu, kötü niyetli aktörlerin, özellikle Endonezya’daki kumarla ilgili platformlara odaklanarak, kötü amaçlı yazılım dağıtmak için bu uygulamalardaki güvenlik açıklarından yararlandığı karmaşık bir kampanyayı ortaya çıkardı.
Endonezya’da 1974’ten bu yana uzun süredir devam eden kumar yasağına rağmen, dijital çağ, çevrimiçi kumar faaliyetlerinde artışa yol açtı.
Bu gelişme, yasadışı çevrimiçi kumarla mücadele çabalarını yoğunlaştıran Endonezya hükümeti için düzenleme ve yaptırım zorlukları yarattı.
Son dönemdeki baskılar, çoğunluğu Müslüman olan bu ülkedeki ilgili hukuki, sosyal ve ahlaki sorunları ele almayı amaçlayan operatörleri ve platformları hedef aldı.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
PHP Tabanlı Uygulamaların Kullanımı
Imperva’nın gözlemleri PHP uygulamalarına yönelik hedefli saldırılarda endişe verici bir artış olduğunu gösteriyor. Geçtiğimiz iki ay boyunca Python tabanlı botlar kullanan saldırganlar, çeşitli web uygulamalarından yararlanmaya çalışan milyonlarca isteği yürüttü.
Bu saldırıların ortaya çıkışı, Endonezya web sitelerinde belirgin bir yoğunlaşma ile hükümetin çevrimiçi kumar konusundaki yoğun incelemesiyle aynı zamana denk geliyor.
Imperva, bu saldırılar sırasında özel bir komutun yürütüldüğünü tespit etti; güvenlik duvarlarını ve Ağ Adresi Çevirisini (NAT) atlayarak farklı özel ağlar üzerinden bağlantılara izin veren Global Soket (GSocket) ağ oluşturma araç setini kurmak için tasarlanmış tek satırlık bir komut.
Bu kurulum rutininin amacı, güvenliği ihlal edilmiş sunucular arasındaki yetkisiz iletişim kanallarını kolaylaştırmaktır.
HackersChoice’daki geliştiricileri tarafından belirtildiği gibi GSocket, NAT veya güvenlik duvarlarının arkasındaki kullanıcılar için güvenli TCP bağlantılarına izin vererek çalışır.
Bir programın IP katmanını bir GSocket katmanıyla değiştirerek neredeyse her yerden uzaktan erişime olanak tanır. Bu yetenek, GSocket’i güvenliği ihlal edilmiş sistemlerde kalıcılığı sürdürmek isteyen siber suçlular için çekici bir araç haline getirdi.
Imperva raporu, saldırganların GSocket’i dağıtmak için PHP sunucularındaki mevcut web kabuklarından yararlandığı bir eğilimi vurguluyor.
Bu yöntem, aktif güvenlik açıklarını bulma umuduyla bu sunuculardaki ortak web kabuğu yollarını bombalamayı içerir. Özellikle popüler bir Öğrenme Yönetim Sistemi (LMS) olan Moodle, bu saldırıların birincil hedefi olmuştur. Moodle ile ilişkili belirli yollar GSocket enfeksiyonlarının izlerini göstermiştir.
Saldırganların stratejisi genellikle, ilk web kabuğu kaldırılsa bile erişimlerini sürdüren arka kapıların oluşturulmasıyla sonuçlanır.
Güvenliği ihlal edilmiş sunucularda bulunan komut dosyaları, GSocket’i otomatik olarak yeniden yüklemek için tasarlanmış komutlarla kalıcı bir tehdide işaret ediyor.
Yasadışı Çevrimiçi Kumar Bağlantısı
GSocket kampanyasının ardındaki nihai amaç, yasa dışı çevrimiçi kumar faaliyetlerinin kolaylaştırılması gibi görünüyor. Güvenliği ihlal edilmiş Moodle örneklerine yönelik araştırmalar, kullanıcıları kumarla ilgili içeriğe yönlendiren PHP dosyalarını içeren düzensiz adlandırılmış dizinleri ortaya çıkardı.
Endonezya’daki açıklayıcı açılış sayfaları çeşitli kumar hizmetlerini tanıtıyor ve meşru kumar siteleri arayan kullanıcıları yanıltmaya yönelik koordineli bir çabayı akla getiriyor.
Böyle bir sayfa, onu güvenilir bir çevrimiçi piyango acentesi olarak sunan “888SLOT” un reklamını yaptı. Bununla birlikte, bu sayfalara yerleştirilmiş olan PHP kodu, yalnızca arama botlarının içeriğe erişmesini sağlamak ve düzenli kullanıcıları alternatif kumar alan adlarına, özellikle de “hxxps://pktoto”ya yönlendirmek için tasarlanmıştır.[.]cc.”
Bu taktik, kullanıcıların kumarla ilgili bilgi aramalarını istismar ederek, siteler arasında trafiğin kesintisiz olarak yeniden yönlendirilmesini kolaylaştırıyor ve düzenleyici kısıtlamaların olduğu durumlarda bile operasyonların sürekliliğini sağlıyor.
PHP tabanlı web uygulamalarını hedef alan saldırılarda son dönemde yaşanan artış, özellikle Endonezya’daki çevrimiçi kumar güvenlik açıklarından yararlanma konusunda siber güvenlik konusunda endişe verici bir eğilimin sinyalini veriyor.
Hükümet yasa dışı kumara yönelik baskılarını yoğunlaştırdıkça, sağlam siber güvenlik önlemlerine duyulan ihtiyaç zorunlu hale geliyor. Farkındalık ve proaktif savunma stratejileri, web uygulamalarını korumak ve bu karmaşık siber tehditlerin oluşturduğu riskleri azaltmak için gereklidir.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri