Siber güvenlik araştırmacıları, kritik bir Apache ActiveMQ güvenlik açığından yararlanan bilgisayar korsanlarının, mağdur sistemlerine erişim kazandıktan sonra güvenlik kusurunu yamalamanın olağandışı adımını attığı sofistike bir saldırı kampanyası ortaya çıkardılar.
Kırmızı Canary Tehdit İstihbarat Ekibi, düzinelerce uzlaşmış bulut tabanlı Linux sunucularında bu mantıksız davranışı gözlemledi ve ihlal edilen sistemler üzerinde özel kontrolü sürdürmek için stratejik bir yaklaşım ortaya koydu.
Saldırılar, yaygın olarak kullanılan bir açık kaynak mesaj komisyoncusu olan Apache ActiveMQ’da kritik bir uzaktan kod yürütme güvenlik açığı olan CVE-2023-46604’ü hedefliyor.
| Alan | Detaylar |
| CVE kimliği | CVE-2023-46604 |
| Yayınlanmış Tarih | 27 Ekim 2023 |
| Son Değiştirilmiş | 28 Aralık 2023 |
| CVSS 3.1 Temel Puan | 10.0 (kritik) |
| CVSS vektörü | CVSS: 3.1/AV: N/AC: N/UI: N/IU: C: H/I: H/A: H/A: H |
Yaklaşık üç yaşında olmasına rağmen, bu güvenlik açığı EPSS skoruna göre yüzde 94,44 sömürü olasılığını koruyor ve bu da siber suçlular için çekici bir hedef haline geliyor.
Red Canary’nin araştırması, birden fazla uzlaşma aşamasını içeren karmaşık bir saldırı metodolojisini ortaya çıkardı.
Başlangıçta ActiveMQ güvenlik açığından yararlandıktan sonra, saldırganlar kalıcı erişim sağlamak için şerit implantları ve Cloudflare tünelleri dahil çeşitli komut ve kontrol araçları kullandılar.
Birkaç durumda, rakipler kök giriş erişimini sağlamak için SSH yapılandırmalarını değiştirerek maksimum sistem ayrıcalıkları verir.
Kampanya, daha önce bilinmeyen bir kötü amaçlı yazılım suşu, çalıştırılması için şifre gerektiren şifreli bir Pyinstaller yürütülebilir dosyası olan “DripDropper” adlı bir şekilde adlandırdı.
Bu araç, sabit kodlu taşıyıcı jetonları kullanarak düşman kontrollü Dropbox hesaplarıyla iletişim kurar ve saldırganların kötü niyetli trafiği normal iletişimlerle harmanlamak için meşru bulut hizmetlerinden nasıl yararlandığını gösterir.
DripDropper, tehlikeye atılan sistemlerde iki kötü amaçlı dosya oluşturur. Birincisi, CRON iş modifikasyonları yoluyla süreç izleme ve kalıcılık oluşturma gibi çeşitli işlevleri yerine getirir.
Rastgele oluşturulan sekiz karakterli bir adla ikinci dosya, SSH yapılandırmalarını değiştirir ve ek kalıcı erişim mekanizmaları için sistemleri hazırlar.
Çarpıcı bir taktiksel hareketle, saldırganlar, zaten tehlikeye atılmış sistemlerde CVE-2023-46604 güvenlik açığını yamalamak için Apache Maven depolarından meşru ActiveMq JAR dosyalarını indirdiler.
Bu olağandışı davranış ikili amaca hizmet eder: güvenlik açığı tarayıcılar tarafından tespitin azaltılması ve rakip tehdit aktörlerinin erişim elde etmek için aynı kusurdan yararlanmasını önlemek.
Güvenlik araştırmacıları, “Diğer rakipleri potansiyel olarak kilitlemenin harika bir yolu, dayanaklarının münhasır kalmasını sağladı” dedi.
Bu teknik, gelişmiş kalıcı tehditlerde ortaya çıkan bir eğilimi vurgulayan diğer kritik güvenlik açıkları ile gözlemlenmiştir.
Kampanya, bulut Linux altyapısının karşılaştığı kalıcı risklerin altını çiziyor. CVE-2023-46604, Tellyouthepass, Ransomhub, Hellokitty Fidye Yazılımları ve Kinsing Cryptominers dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerinin konuşlandırılmasını sağlıyor.
Güvenlik açığının devam eden sömürüsü, eski kusurların hızla genişleyen bulut ortamlarında nasıl tehlikeli saldırı vektörleri olarak kaldığını göstermektedir.
Güvenlik uzmanları, temiz güvenlik açığı taramalarının, özellikle sofistike düşmanlar, sömürme sonrası yama teknikleri kullandığında, sistem güvenliğini garanti etmediğini vurgulamaktadır.
Kuruluşlar, bu gelişen tehditlere karşı savunmak için kapsamlı izleme, politika tabanlı SSH yönetimi ve proaktif yama doğrulama prosedürleri uygulamalıdır.
Kampanya, bulut benimsemesi kurumsal ortamlarda hızlandıkça, rakiplerin Linux sistemlerini nasıl hedeflediklerini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!