Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Yönetim ve Risk Yönetimi
Kolayca İstismar Edilebilen Güvenlik Açığı Kötü Amaçlı Yazılım Kampanyaları ve Botnetler İçin Büyük Hedef Haline Geliyor
Prajeet Nair (@prajeetskonuşuyor) •
11 Temmuz 2024
Güvenlik firması Akamai’ye göre, birden fazla tehdit aktörü, geçen ay kamuoyuna açıklanmasından bir gün sonra PHP betik dilindeki kritik bir güvenlik açığını istismar etmeye başladı. Yöneticilere derhal yama yapmaları tavsiye ediliyor.
Ayrıca bakınız: Yoğunlaşan Tehdit Ortamına Yanıt Vermek
Açıklamadan birkaç gün sonra Akamai Güvenlik İstihbarat Müdahale Ekibi, CVE-2024-4577 olarak izlenen PHP açığından faydalanan birkaç kötü amaçlı yazılım kampanyası tespit etti. Araştırmacılar, kampanyaların hızının istismarın kolaylığını yansıttığını söyledi.
Bu kusur, özellikle Çince ve Japonca dil yerel tanımlayıcıları kullanan Windows sistemlerinde CGI modunda çalışan PHP kurulumlarını etkiliyor.
PHP’yi istismar etmek için saldırganlar şunları kullanır: php://input
kötü amaçlı kod enjekte etmek için bir isteğin gövdesine kod yerleştirmek. Genellikle şunu kullanırlar: PHP auto_prepend_file
Ve allow_url_include
Kodlarının önce yürütülmesini ve uzak konumlardan veri alınabilmesini sağlamak için seçenekler.
Akamai şu etkin kötü amaçlı yazılım kampanyalarını tespit etti:
- Gh0st RAT Kötü Amaçlı Yazılımı: 15 yıldan uzun süredir kullanımda olan bu açık kaynaklı uzaktan erişim aracı, ifşa edilmesinden itibaren 24 saat içinde bu PHP açığını hedef aldığı gözlemlendi. Vahşi doğada yakalanan kötü amaçlı bir yük, kötü amaçlı yazılımın bağlı sürücüleri ve çevre birimlerini sıraladığını ve kayıt defterini sorguladığını gösterdi. Kötü amaçlı yazılım, Almanya merkezli bir komuta ve kontrol sunucusuyla iletişim kurdu.
- RedTail Kripto Madencisi: Bu kampanya, bir madenci dosyasını indiren bir kabuk betiğini içeriyordu
wget
veyacurl
. Komut dosyası, belirli dizinler hariç olmak üzere okuma, yazma ve yürütme izinlerine sahip dizinleri hedef aldı./tmp
Ve/proc
Yük, indirilip yürütüldükten sonra yeniden adlandırıldı.redtail
Muhtemelen tehdit aktörlerinin genel komut dosyalarını yeniden kullanmasının bir sonucu olan bu komut dosyası etkili oldu. - Muhstik kötü amaçlı yazılımı: Bu kampanya Muhstik kötü amaçlı yazılımının bir sürümünü indirir ve kripto madenciliği ve DDoS amaçları için nesnelerin interneti cihazlarını ve Linux sunucularını hedefler. Kötü amaçlı yazılım birkaç dizin oluşturdu ve daha önce Muhstik kampanyalarıyla ilişkilendirilmiş bir komuta ve kontrol alanıyla iletişim kurdu.
- XMRig Kripto Madencisi: Dördüncü kampanya, bir PowerShell komutunu yürütmek için bu güvenlik açığını istismar etti, XMRig’i uzaktan bir madencilik havuzundan başlatmak için bir betiği indirip yürüttü. Kötü amaçlı yazılım daha sonra etkinliği gizlemek için geçici dosyaları temizledi.
Akamai araştırmacıları, kuruluşların güvenlik açıklarını değerlendirmek ve yamaları derhal uygulamak için hızlı davranmalarını öneriyor.