Saldırganlar, Golang tabanlı botnet GoTitan’ı ve uzaktan kontrol edilebilme özelliğine sahip.NET uygulaması “PrCtrl Rat”ı yaymak için Apache ActiveMQ’yu etkileyen (CVE-2023-46604) olarak takip edilen, yakın zamanda keşfedilen kritik güvenlik açığından yararlanıyor.
Apache Active MQ’nun 5.15.16, 5.16.7, 5.17.6 ve 5.18.3’ten önceki sürümlerini kullanan tüm İşletim Sistemleri bu kritik güvenlik açığından etkileniyordu.
Apache tarafından, Apache’deki güvenilmeyen verilerin seri durumdan çıkarılmasıyla ilgili bu güvenlik açığına (CVE-2023-46604) yönelik bir öneri belgesi Ekim ayında yayımlandı.
Bu güvenlik açığının yüksek riski ve olası sonuçları nedeniyle CISA, 2 Kasım’da CVE-2023-46604’ü bilinen istismarlar listesine veya KEV Kataloğuna ekledi.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
GoTitan Botnet – Apache ActiveMQ’da Devam Eden Kullanım
Genellikle bu durumda saldırgan, hazırlanmış bir paket göndererek sistemin kendi kontrolü altındaki bir sınıfın sırasını kaldırmasına neden olur.
Daha sonra, duyarlı sunucunun verilen uzak URL’den bir sınıf yapılandırması XML dosyasını alıp yüklemesinin istenmesi için önceden tanımlanmış bir XML dosyasının harici olarak barındırılması gerekir.
Etkilenen sistemde çalıştırılması amaçlanan rastgele kod, kötü amaçlı XML dosyasında tanımlanır. Saldırganlar, “cmd” veya “bash” gibi parametreleri ayarlayarak uzaktaki duyarlı sunucuda kod çalıştırabilir.
Fortinet araştırmacılarına göre bu ay, kötü amaçlı “hxxp://91.92.242.14/main-linux-amd64s” URL’sinden elde edilebilecek ve Go programlama dilinde yazılan yeni bir botnet olan GoTitan tespit edildi. Kötü amaçlı yazılım, yürütme öncesinde belirli kontroller gerçekleştirir ve saldırgan yalnızca x64 mimarileri için ikili dosyalar sunar.
Ayrıca programın durumunu ve çalışma süresini içeren “c.log” adında bir dosya oluşturulur. Görünüşe göre bu dosya bir geliştiricinin hata ayıklama günlüğüdür ve GoTitan’ın hâlâ geliştirme aşamasında olduğunu gösterir.
Daha sonra C2 IP adresini ve istismar edilen uç nokta hakkında CPU ayrıntıları, bellek ve mimari gibi önemli gerçekleri elde eder.
“GoTitan, kalp atışı sinyali olarak “\xFE\xFE” göndererek ve daha fazla talimat bekleyerek C2 sunucusuyla iletişim kurar. Araştırmacılar, bir komut aldığında bunu, saldırı yöntemini belirleyen “handle_socket_func2″ adlı bir işleve aktarıyor” diye açıklıyor.
Dağıtılmış hizmet reddi (DDoS) saldırıları, GoTitan tarafından 10 farklı yöntem kullanılarak başlatılabilir: TCP, TLS, RAW, HTTP GET, HTTP POST, HTTP HEAD ve HTTP PUT.
Araştırmacılar ayrıca Sliver, Kinsing ve Ddostf gibi daha iyi bilinen kötü amaçlı yazılımların ve araçların kullanımda olduğunu da buldu.
Sistem güncellemeleri, yama uygulanması ve güvenlik önerilerinin sürekli izlenmesi, kötüye kullanım tehlikesini azaltmak için çok önemlidir.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.