Güvenlik Araştırmacılarına Saldıran Sahte RegreSSHion Saldırısına Dikkat Edin

Siber güvenlik araştırmacılarını hedef alan endişe verici yeni bir tehdit ortaya çıktı.

Sosyal ağ X’te, yakın zamanda keşfedilen CVE-2024-6387 güvenlik açığı (diğer adıyla regreSSHion) için bir istismarmış gibi görünen, kötü amaçlı kod içeren bir arşiv dağıtılıyor.

OpenSSH’yi etkileyen bu istismar, siber güvenlik camiasının büyük ilgisini çekti.

Ancak uzmanlar, bu arşivin, onu indirenlerin sistemlerini tehlikeye atmayı amaçlayan bir tuzak olduğu konusunda uyarıyor.

Arşivin Arkasındaki Efsane

Aldatıcı arşivin ikna edici bir arka planı var. CVE-2024-6387 güvenlik açığı için çalışan bir istismar, istismarın hedef aldığı IP adreslerinin bir listesi ve saldırılarda kullanılan bir yük içerdiğini iddia ediyor.

Kaspersky raporlarına göre, bu açığı aktif olarak kullanan bir sunucu, belirli IP adreslerine saldırıyor ve arşiv, bu saldırıları araştırmakla ilgilenen herkese sunuluyor.

Bu cazip teklif, istismarı analiz etmek ve mekanizmalarını anlamak isteyen siber güvenlik uzmanlarını cezbediyor.

Join our free webinar to learn about combating slow DDoS attacks, a major threat today.

Kötü Amaçlı Arşivin Gerçek İçerikleri

İddialarının aksine arşiv, kaynak kodları, kötü amaçlı ikili dosyalar ve betiklerin bir karışımını içeriyor.

Kaynak kodu, halihazırda kamuya açık olan regreSSHion güvenlik açığı için işlevsel olmayan bir kavram kanıtının hafifçe değiştirilmiş bir sürümü gibi görünüyor.

Eklenen Python betiklerinden biri, IP adresi dosyasında listelenen sunuculardaki güvenlik açığından yararlanmayı simüle ediyor.

Ancak meşru bir analiz yapmak yerine “exploit.txt” adında kötü amaçlı bir dosya başlatıyor.

“Bu kötü amaçlı yazılımın sistemde kalıcılık sağlamak ve uzak bir sunucudan ek yükler almak için tasarlandığı belirtiliyor.

Kötü amaçlı kodu /etc/cron.hourly dizinine kaydeder ve ls dosyasını kendi kopyasını içerecek şekilde değiştirir.

Bu, kötü amaçlı kodun tekrar tekrar yürütülmesini ve ls komutu her çalıştırıldığında sistemin tehlikeye atılmasını sağlar.

Siber güvenlik araştırmacıları, özellikle sosyal medya platformlarında paylaşılan güvenilir olmayan kaynaklardan dosya indirirken ve analiz ederken son derece dikkatli olmalıdır.

Herhangi bir arşivi açmadan önce orijinalliğini doğrulamak ve olası sistem ihlallerini önlemek için analiz için izole ortamlar kullanmak çok önemlidir.

regreSSHion açığı önemli bir güvenlik açığı olabilir, ancak sahte bir açığın kurbanı olmak araştırmacılar ve sistemleri için ciddi sonuçlar doğurabilir.

"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo