Siber güvenlik araştırmacıları, bilinen güvenlik açıklarından yararlanan ve REDIS sunucularını IoT botnetleri, konut vekilleri veya kripto para madenciliği altyapısı gibi tehlikeye atılan cihazlardan yararlanmak da dahil olmak üzere çeşitli kötü amaçlı etkinliklere maruz bırakan birden fazla kampanyaya dikkat çekiyor.
İlk saldırı seti, geçen yılın sonlarından bu yana siber saldırılarda silahlandırılan Osgeo Geoserver Geotools’u etkileyen kritik bir uzaktan kod yürütme kırılganlığı olan CVE-2024-36401’in (CVSS skoru: 9.8) sömürülmesini gerektiriyor.
Palo Alto Networks Birimi 42 Araştırmacılar Zhibin Zhang, Yiheng An, Chao Lei ve Haozhe Zhang teknik raporda, “Suçlular, ağ paylaşımı veya konut vekilleri aracılığıyla pasif gelir elde etmek için meşru yazılım geliştirme kitleri (SDK) veya değiştirilmiş uygulamalar dağıtmak için kullandılar.
“Pasif gelir elde etmenin bu yöntemi özellikle gizlidir. Geleneksel reklamları görüntülemek yerine SDK’ları seçen bazı meşru uygulama geliştiricileri tarafından kullanılan bir para kazanma stratejisini taklit eder. Bu, kullanıcı deneyimini koruyan ve uygulama elde tutmayı artıran iyi niyetli bir seçim olabilir.”
Siber güvenlik şirketi, saldırganların en azından Mart 2025’in başından beri internete maruz kalan geoserver örneklerini araştırdığını ve rakip kontrollü sunuculardan özelleştirilmiş yürütülebilir ürünleri düşürmeye erişimden yararlandığını söyledi. Yükler, geleneksel bir HTTP web sunucusunun aksine, transfer.sh kullanılarak bir dosya paylaşım sunucusunun özel bir örneği aracılığıyla dağıtılır.
Kampanyada kullanılan uygulamalar, minimum kaynaklar tüketerek radarın altında uçmayı amaçlarken, kurbanların internet bant genişliğini özel kötü amaçlı yazılım dağıtmaya gerek kalmadan gizlice para kazanıyor. DART ile yazılmış ikili dosyalar, bant genişliği paylaşımı gibi etkinlikler için cihaz kaynaklarını gizlice kullanarak meşru pasif gelir hizmetleriyle etkileşim kurmak için tasarlanmıştır.
Uygulamaların geliştiricileri özelliği entegre etmek karşılığında ödeme aldıkları ve siber suçlular, herhangi bir kırmızı bayrak yükseltmeyen görünüşte zararsız bir kanal kullanarak kâr elde ettikleri için, yaklaşım, ilgili tüm taraflar için bir kazan-kazan durumudur.
Ünite 42, “Koşduktan sonra, yürütülebilir, cihaz kaynaklarını izleyerek ve mümkün olduğunca kurbanın bant genişliğini yasadışı olarak paylaşarak arka planda çalışır.” Dedi. “Bu, saldırgan için pasif gelir elde ediyor.”
Şirket tarafından toplanan telemetri verileri, Çin, ABD, Almanya, Büyük Britanya ve Singapur’un ilk beş noktayı aldığı 99 ülkede 7.100’den fazla halka açık geoserver örneği olduğunu göstermektedir.
Ünite 42, “Devam eden bu kampanya, rakiplerin uzlaşmış sistemlerden nasıl para kazandığı konusunda önemli bir evrim sergiliyor.” Dedi. “Saldırganların temel stratejisi, agresif kaynak sömürüsünden ziyade gizli, kalıcı para kazanmaya odaklanıyor. Bu yaklaşım, kolayca tespit edilebilir teknikler üzerinde uzun vadeli, düşük profilli gelir üretimini destekliyor.”
Açıklama, Censys’in, bilinen güvenlik açıklıklarından yararlanarak kurumsal sınıf güvenlik duvarları ve yönlendiriciler, IP kameralar ve VoIP telefonları gibi tüketici odaklı cihazlardan oluşan büyük ölçekli bir IoT botnetini güçlendiren altyapı omurgasını detaylandırdığı gibi geliyor. Botnet’in gelişigüzel kitle taraması için kullanılmadığı açık olsa da, kesin amacı şu anda bilinmemektedir.
İlk erişim, daha sonra şifreli komut ve kontrol, günlük temizleme ve dinamik altyapı güncellemelerini kolaylaştıran MBED TL’lere dayalı özel bir TLS arka kapısı bırakmak için istismar edilir. Arka kapı, muhtemelen geleneksel ağ taramalarını ve savunma izleme kapsamını atlamanın bir yolu olarak, yüksek standart dışı bağlantı noktalarına yerleştirilmiştir.
Polaredge, operasyonel röle kutusu (ORB) ağıyla uyumlu özellikler sergiliyor ve saldırı yüzey yönetimi platformu, kampanyanın Haziran 2023’e kadar başladığına ve bu ay itibariyle yaklaşık 40.000 aktif cihaza ulaştığına dair göstergeler olduğunu belirtiyor. Enfeksiyonların% 70’inden fazlası Güney Kore, ABD, Hong Kong, İsveç ve Kanada’ya dağılmıştır.
Güvenlik araştırmacısı Himaja Ahinam, “Küreler, tehdit aktörleri adına ek uzlaşmalar veya saldırılar yapmak için trafiği ileriye taşıyan çıkış düğümlerinden ödün veriyor.” Dedi. “Küreleri saldırganlar için bu kadar değerli kılan şey, cihazın temel işlevini devralmaları gerekmemesidir – cihaz normal olarak çalışmaya devam ederken, sahibine veya ISS tarafından algılamaya devam ederken, arka planda trafiği sessizce aktarabilirler.”
Son aylarda, Draytek, TP-Link, Raisecom ve Cisco gibi satıcılardan gelen ürünlerdeki güvenlik açıkları, kötü aktörler tarafından onlara sızmak ve bir Mirai botnet varyant Gayfemboy kodlu Gayfemboy’u kullanmaya yönelik hedefleme kapsamının genişlemesini gösteriyor.
Fortinet, “Gayfemboy kampanyası Brezilya, Meksika, ABD, Almanya, Fransa, İsviçre, İsrail ve Vietnam dahil olmak üzere birçok ülkeyi kapsıyor.” Dedi. “Hedefleri aynı zamanda üretim, teknoloji, inşaat ve medya veya iletişim gibi çok çeşitli sektörü kapsıyor.”
Gayfemboy, ARM, Aarch64, MIPS R3000, PowerPC ve Intel 80386 dahil olmak üzere çeşitli sistem mimarilerini hedefleyebilir. Dört ana işlevi içeriyor –
- İzlemekkalıcılık ve kum havuzu kaçırma tekniklerini dahil ederken iplikleri ve işlemleri izleyen
- Bekçi köpeğiUDP bağlantı noktasına bağlanmaya çalışan 47272
- SaldırganUDP, TCP ve ICMP protokollerini kullanarak DDOS saldırılarını başlatan ve komut almak için uzak bir sunucuya bağlanarak arka kapı erişimini sağlar
- KatilSunucudan komut alırsa veya sanal alan manipülasyonunu algılarsa kendini sona erdiren
Güvenlik araştırmacısı Vincent Li, “Gayfemboy, Mirai’den yapısal unsurları miras alırken, hem karmaşıklığını hem de tespitten kaçınma yeteneğini artıran önemli değişiklikler sunuyor.” Dedi. “Bu evrim, modern kötü amaçlı yazılımların artan karmaşıklığını yansıtıyor ve proaktif, zeka odaklı savunma stratejilerine olan ihtiyacı güçlendiriyor.”
Bulgular ayrıca, Ta-Natalstatus adlı bir tehdit oyuncusu tarafından gerçekleştirilen ve maruz kalan redis sunucularını kripto para birimi madencileri sunmak için hedefleyen bir kriptaj kampanyasıyla da çakışıyor.
Saldırı esasen 6379 numaralı bağlantı noktasında kimliği doğrulanmamış Redis sunucuları taramasını, ardından Selinux’u devre dışı bırakan, savunma kaçakçılığı adımlarını gerçekleştiren bir kabuk komut dosyasını çalıştırmak için tasarlanmış kötü niyetli bir cron işini yürütmek için komutları ve kaydetmeyi içeriyor ve rahmetli işlemleri kullanmayı önlemek için Redis Port’u kullanmayı önlemek için (REDIS Port) (Redis Port) ‘ı kaydetmeyi ve kaydetmeyi içeriyor.
Ayrıca, Masscan veya PNSCAN gibi araçları yüklemek ve ardından İnternet’i duyarlı Redis örnekleri için taramak için “Masscan -Shard” gibi komutları başlatan komut dosyaları da uygulanır. Son adım, saatlik bir cron işiyle kalıcılığın kurulmasını ve madencilik sürecini başlatmayı içerir.
Siber güvenlik firması Cloudsek, etkinliğin Nisan 2020’de trend micro tarafından açıklanan bir saldırı kampanyasının evrimi olduğunu ve kötü niyetli süreçleri gizlemek ve dosyalarının zaman damgalarını adli analizi kandırmak için değiştirmek için rootkit benzeri özellikleri karşılamak için yeni özelliklere sahip olduğunu söyledi.
Araştırmacı Abhishek Mathew, “PS ve PS ve PS gibi sistem ikili dosyalarını Ps.original olarak yeniden adlandırarak ve kötü niyetli ambalajlarla değiştirerek, kendi kötü amaçlı yazılımlarını (HTTPGD) çıktıdan filtreliyorlar. Madenci arayan bir yönetici standart araçları kullanarak görmeyecek.” Dedi. Diyerek şöyle devam etti: “Bu ortak araç adları tarafından özel olarak başlatılan kötü amaçlı indirmeleri izleyen güvenlik ürünlerini atlamak için CD1 ve WD1’e curl ve wget olarak yeniden adlandırıyorlar.”