Apache ActiveMQ’yu etkileyen yakın zamanda açıklanan kritik güvenlik kusuru, tehdit aktörleri tarafından Go tabanlı yeni bir botnet dağıtmak için aktif olarak kullanılıyor. GoTitan olarak bilinen bir .NET programının yanı sıra PrCtrl Sıçan bu virüs bulaşmış ana bilgisayarlara uzaktan el koyabilme yeteneğine sahip.
Saldırılar, son haftalarda Lazarus Grubu da dahil olmak üzere çeşitli bilgisayar korsanlığı ekipleri tarafından silah haline getirilen bir uzaktan kod yürütme hatasının (CVE-2023-46604, CVSS puanı: 10.0) kullanılmasını içeriyor.
Başarılı bir ihlalin ardından, tehdit aktörlerinin, HTTP, UDP gibi protokoller aracılığıyla dağıtılmış hizmet reddi (DDoS) saldırılarını düzenlemek için tasarlanmış bir botnet olan GoTitan’ın da bulunduğu uzak bir sunucudan sonraki aşamadaki yükleri bıraktıkları gözlemlendi. , TCP ve TLS.
Fortinet Fortiguard Labs araştırmacısı Cara Lin Salı günü yaptığı analizde, “Saldırgan yalnızca x64 mimarileri için ikili dosyalar sağlıyor ve kötü amaçlı yazılım çalıştırmadan önce bazı kontroller yapıyor.” dedi.
“Ayrıca, yürütme zamanını ve program durumunu kaydeden ‘c.log’ adında bir dosya oluşturuyor. Bu dosya geliştirici için bir hata ayıklama günlüğü gibi görünüyor, bu da GoTitan’ın hâlâ geliştirme aşamasında olduğunu gösteriyor.”
Fortinet ayrıca, duyarlı Apache ActiveMQ sunucularının Ddostf adı verilen başka bir DDoS botnet’i, kripto hırsızlığı için Kinsing kötü amaçlı yazılımı ve Sliver adlı bir komuta ve kontrol (C2) çerçevesi dağıtmak üzere hedeflendiği örnekleri de gözlemlediğini söyledi.
Yayılan bir diğer önemli kötü amaçlı yazılım, sistemde yürütülmek üzere ek komutlar almak, dosyaları toplamak ve sunucudan ve sunucuya dosya indirmek ve yüklemek için bir C2 sunucusuyla bağlantı kuran PrCtrl Rat adlı uzaktan erişim truva atıdır.
Lin, “Bu yazının yazıldığı an itibarıyla sunucudan henüz herhangi bir mesaj almadık ve bu aracın yaygınlaştırılmasının ardındaki amaç belirsizliğini koruyor” dedi. “Ancak, kullanıcının ortamına sızdığında uzak sunucu sistem üzerinde kontrol sahibi olur.”