Apache RocketMQ sunucularını etkileyen ve bir ağ geçidi üzerinden uzaktan kod yürütülmesine olanak tanıyan bir güvenlik açığı Mayıs 2023’te kamuya açıklandı. RocketMQ, mesajlaşma ve akış için bulutta yerleşik bir platformdur.
RocketMQ’da komut yürütme güvenlik açığının 5.1.0 ve altını etkilediği bildirildi.
Kimliği doğrulanmamış uzak bir kullanıcı, RocketMQ kullanıcı işlemiyle aynı erişim düzeyine sahip komutları yürütmek için yapılandırma güncelleme işlevini kullanarak bu güvenlik açığından yararlanabilir. CVE-2023-33246 olarak atandı.
Juniper Threat Labs, tehdit aktörlerinin sistemlere sızmak için güvenlik açığından yararlandığı bir modeli tespit ederek bu saldırılara ışık tuttu.
Dikkat çekici bir şekilde bu sızıntılar, 2021’den bu yana uykuda kaldıktan sonra yeniden ortaya çıkan kötü şöhretli DreamBus botunun yüklenmesiyle sonuçlandı.
Saldırı Zaman Çizelgesini Haritalamak
Siber suçlular, Haziran ayının başlarından itibaren RocketMQ güvenlik açığına yönelik saldırılar başlattı ve saldırının yoğunluğu Haziran ortasında zirveye ulaştı.
Juniper Tehdit laboratuvarları ‘interactsh’ı kullanarak, faaliyetlerini gizli tutarken çok değerli keşif verileri topladı.
19 Haziran’da, “reketed” adlı kötü amaçlı bir bash betiğinin indirilip çalıştırılmasını içeren bir dizi saldırı ortaya çıktı.
Aynı gün, tehdit aktörleri bu kabuk betiğini almak ve çalıştırmak için iki yöntem sergiledi.
Bir senaryoda, “tor2web.in” adlı bir TOR proxy hizmeti anonim indirmeyi kolaylaştırdı.
Diğerinde ise saldırganlar belirli bir IP adresini kullandı
DreamBus’un Genişletilmiş Arsenal’i
İndirilen veri, “yeniden gönderilen” bash betiği, belirli bir karma (1d0c3e35324273ffeb434f929f834b59dcc6cdd24e9204abd32cc0abefd9f047) ile yürütülür.
İlginçtir ki, analiz sırasında bu dosyada VirusTotal (VT) tespitleri yoktu.
“Yeniden gönderilen” komut dosyası, DreamBus ana modülünün bir TOR gizli hizmetinden indirilmesini düzenledi.
(DreamBus botnet, virüs bulaşmış bilgisayarlara kripto para madencisini gönderen bir kötü amaçlı yazılımdır).
Bir ELF ikili programı olan DreamBus ana modülü, başarılı bir indirmenin ardından ortaya çıktı.
Değiştirilmiş UPX başlıkları ile geleneksel UPX paket açma sürecini engelleyerek zorluklar yarattı.
Şifre çözüldükten sonra modülün, her biri farklı işlevlere karşılık gelen çok sayıda base64 kodlu diziyi çalıştırdığı ortaya çıktı.
Base64 dizelerinin kodunun çözülmesi, çeşitli yeteneklerle donatılmış “reketed”e benzer bir bash betiğini ortaya çıkardı.
Bu komut dosyaları, modüllerin indirilmesinden Monero kripto para birimi madenciliğine kadar çeşitli işlevleri düzenledi.
Karmaşık TOR ağında gezinerek “/ping”, “/mine” ve “/cmd1” gibi yollar oluşturdular.
Kalıcılık Ağı ve Monero Madenciliği
DreamBus kötü amaçlı yazılımı, varlığının sürekliliğini sağlamak için çok yönlü bir yaklaşım kullandı.
Zamanlayıcı hizmetleri, cron işleri ve otomatik BT araçları bu kararlılığı artırdı ve siber suçluların tutunmalarını sağladı.
Ek olarak kötü amaçlı yazılım, TOR aracılığıyla Monero kripto para madenciliği XMRig’i tanıtarak hain hedeflerini sürdürdü.
RocketMQ güvenlik açığı ile DreamBus botu arasındaki simbiyotik ilişki, yama yapılmamış sistemlerin doğasında bulunan tehlikelerin altını çiziyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.