Bilgisayar korsanları, bu sistemlerin anonim olmasına yardımcı olan proxy sunucuları kullanarak adlarını gizleyebilir ve engellenen web sitelerine veya ağlara erişebilir.
Güvenliği ihlal edilmiş proxy sunucuları, trafiğin gerçek kaynaklarını gizlerken saldırı başlatmak, kötü amaçlı yazılımları dağıtmak ve yasa dışı faaliyetlerde bulunmak için kanal olarak kullanılabilir.
Ayrıca, güvenlik açıklarının bulunduğu herhangi bir proxy sunucusu aracılığıyla ağa daha fazla sızma riski de vardır.
ASEC’teki siber güvenlik araştırmacıları yakın zamanda bir fidye yazılımı aktörünün CoinMiner saldırganının proxy sunucusundan yararlandığını keşfetti.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Fidye Yazılımı Aktörü CoinMiner’ı Sömürdü
Siber saldırılar yalnızca şirketleri değil, tehdit aktörlerinin kendilerini de hedef alıyor.
Bir CoinMiner grubunun virüs bulaşmış bir botnet’i kontrol etmek için kullandığı proxy sunucusu açığa çıktı ve bu durum, bir fidye yazılımı aktörünün RDP tarama saldırısının botnet’e sızmasına ve fidye yazılımı bulaştırmasına olanak sağladı.
İlk CoinMiner ihlali muhtemelen bir C2 sunucusundan CoinMiner kötü amaçlı yazılımını indiren bir arka kapı yüklemek için xp_cmdshell kullanarak MS-SQL sunucusu yönetici (sa) hesaplarının taranmasını içeriyordu.
Bu, tehdit aktörlerinin altyapılarının nasıl tehlikeye atılmış hedefler haline gelebileceğini gösteriyor.
Etkilenen bir ters RDP proxy sunucusu, CoinMiner grubu tarafından, virüslü botlara girmek için değiştirilmiş bir Hızlı Ters Proxy aracı kullanılarak kuruldu.
Ancak açığa çıkan bu proxy sunucusu, fidye yazılımı aktörleri tarafından başlatılan RDP bağlantı noktası taraması ve kaba kuvvet saldırısının hedefi haline geldi.
Oturum açma kısıtlamalarının olmaması, fidye yazılımı aktörünün proxy aracılığıyla yönetici erişimi elde etmesine ve ardından fidye yazılımını CoinMiner botnet’i ve araçlarla ağ boyunca dağıtmadan önce yanal hareket etmesine olanak tanıdı.
CoinMiner, belirli bir fidye yazılımı saldırganı için, RDP tarama saldırısının bir proxy sunucusu kullanmayı içermesinin kasıtlı veya tesadüfi olabileceği bir tehdit aktörüdür.
Hipotez 1: –
Proxy sunucusu, fidye yazılımı aktörünün kazara gördüğü için, açıkta kalan RDP bağlantı noktasına sahip başka bir hedefti.
Hipotez 2: –
Daha önce ele geçirilen sistemlerin bu sefer güvenlik açıkları içerme olasılığı daha yüksek olduğundan fidye yazılımı aktörü, saldırganın proxy olduğunu çok iyi bildiği diğer aktörlerin saldırısına uğrayan sistemleri hedeflemeye karar verdi.
Proxy’ye bağlı etkilenen sisteme tekrarlanan erişim, fidye yazılımı aktörünün, güvenliği ihlal edilmiş sistemler arasında geçiş yaptığını gösteren garip davranışlar fark etmiş olabileceğini gösteriyor.
Tehdit aktörleri genellikle diğer aktörlerin altyapısını doğrudan hedef alıp kullanmak yerine, karanlık web pazarlarında kimlik bilgilerini, kötü amaçlı yazılımları ve hizmetleri satıyor.
Ancak farkında olmadan diğer aktörlerin ele geçirilen altyapılarını kullanan saldırıları değerlendirirken, bu senaryoda hangi bireysel davranış ve niyetlerin rol oynadığını anlamak kolay değil.
Bu tür vakaların yaygınlaşması durumunda tehdit aktörleri, bu sistem ve kaynaklardan yararlanarak daha etkili saldırılar gerçekleştirmek için kasıtlı olarak birbirlerinin altyapılarını hacklemeye başlayabilir.
Farklı aktör gruplarının rakip grupların altyapısına kasıtlı olarak sızdığı ve bu durumun atıf ve savunmayı önemli ölçüde karmaşık hale getirebileceği ortaya çıkan bir eğilim var.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo