Yakın zamanda XMRig Coinminer’ı Apache üzerinde çalışan Windows web sunucularına yükleyen bir saldırı kampanyası keşfedildi. Tehdit aktörleri, APT ve fidye yazılımıyla iç sistemleri hedeflemek için Cobalt Strike aracını kullandı.
AhnLab, bu tehdit aktörlerinin Internet Information Services (IIS), Apache, Apache Tomcat ve Nginx dahil olmak üzere Windows ortamlarını destekleyen web hizmetlerinden yararlandığını belirtti.
Apache Web Sunucusu Hedefli Saldırılar
Hedeflenen sistemler Apache web sunucusunun eski sürümlerini çalıştırıyordu ve PHP yüklüydü. Bazı günlükler PHP web kabuğu kötü amaçlı yazılım türlerinin yüklü olduğunu gösteriyor.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Apache web sunucusunu çalıştıran httpd.exe işlemi, tehdit aktörlerinin web kabukları yüklemesi veya güvenlik açıklarından yararlanmaları için birincil hedefti. Bu httpd.exe işlemi aynı zamanda kötü amaçlı yazılım oluşturma ve çalıştırma gibi kötü amaçlı davranışlar da gerçekleştirir.
Kobalt Saldırısı Kullanımı
Kobalt Saldırısı işaretçisi hem kademeli hem de kademesiz saldırılarda kullanıldı. Stager yöntemi, harici bir kaynaktan bir işaretçi indiren ve bunu küçük olan ancak işaretçi indirme için ek adımlar gerektiren bellek alanında yürüten bir indirici kötü amaçlı yazılım kullanır.
Aşamasız yöntem, gömülü işaretçiyi içerir ve belirli bir sınırın üzerinde büyük bir dosya boyutuna sahiptir. Kötü amaçlı yazılım türleri, Golang veya PyInstaller kullanılarak bile tespit edilmekten kaçınmak için gizlendi.
Buna ek olarak işaretçiler C2 sunucusuyla http, https ve DNS üzerinden de iletişim kurar. Yanal hareket sırasında, SMB işaretçileri daha fazla talimat için kurulu işaretçiyle iletişim kurar.
Ek Kötü Amaçlı Yazılım Kurulumu
Cobalt Strike kurulumunun güvenlik ürünleri nedeniyle başarısız olması durumunda ek bir yedekleme yöntemi olan Cobalt Strike kurulumu sırasında Gh0st RAT kurulmaya çalışıldı. Etkilenen sistemler üzerinde kontrol sağlandıktan sonra Monero madeni paralarını çıkaran bir Coinminer kurulur.
Ancak uzaktan kumandalı kötü amaçlı yazılım ve Coinminer kurulumu dışında kripto para madenciliği kayıtlarına rastlanmadı.
Bu kripto madenciliği faaliyetiyle ilgili kaynak kodu, kullanılan kötü amaçlı yazılım, yöntemler ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Yöneticilerin, web sunucularındaki dosya yükleme güvenlik açıklarını zorunlu olarak kontrol etmeleri ve ilk sızmayı önlemek için bunlara yama uygulamaları önerilir. Ayrıca, çalıntı hesap kimlik bilgileri kullanılarak yapılan yan hareket saldırılarına yanıt vermek için bir şifre değiştirme politikası ve erişim kontrolü önlemlerinin uygulanması gerekmektedir.
Uzlaşma Göstergeleri
Dosya Algılama
– Arka Kapı/Win.CobaltStrike.C5538818 (2023.11.08.00)
– Trojan/Win.Generic.R605627 (2023.09.15.01)
– Kötü Amaçlı Yazılım/Win64.RL_Backdoor.R363496 (2021.01.18.05)
– İndirici/Win.CobaltStrike.C5538917 (2023.11.09.01)
– İndirici/Win.CobaltStrike.C5538829 (2023.11.08.00)
– Arka kapı/Win.Gh0stRAT.C4976986 (2023.06.04.01)
– Kötü Amaçlı Yazılım/Win32.RL_Generic.R356011 (2020.11.22.01)
– CoinMiner/Win.XMRig.C5539322 (2023.11.09.01)
– WebShell/PHP.Generic.S1912 (2022.09.27.02)
– WebShell/PHP.Small.S1690 (2021.10.26.02)
Davranış Tespiti
– İlk Erişim/DETECT.Event.M11450
– Bağlantı/EDR.Behavior.M2650
Bellek Algılama
– Arka Kapı/Win.CobaltStrike.XM79
– İndirici/Win.CobaltStrike.XM83
MD5
– 719253ddd9c49a5599b4c8582703c2fa: CobaltStrike Beacon (3JONXp.exe)
– 594365ee18025eb9c518bb266b64f3d2: CobaltStrike Beacon (3JONXp-Signed.exe)
– d4015f101a53555f6016f2f52cc203c3: CobaltStrike Beacon (256.exe)
– 1842271f3dbb1c73701d8c6ebb3f8638: CobaltStrike Beacon (256-Signed.exe)
– 36064bd60be19bdd4e4d1a4a60951c5f: CobaltStrike Stager (test.exe)
– 5949d13548291566efff20f03b10455c: CobaltStrike Stager (artifact_x64.exe)
– c9e9ef2c2e465d3a5e1bfbd2f32ce5cd: CobaltStrike Stager (artifact_x64-signed.vmp.exe)
– 85e191a1fff9f6d09fb46807fd2dea37: Gh0st RAT (1.exe)
– b269dd0b89d404d5ad20851e0d5c322e: Gh0st RAT (server.exe)
– 205c12fabb38b13c42b947e80dc3d53a: XMRig (svchost.exe)
– 6b837fafaa1fbc2a4ddb35a748f4c11e: PHP WebShell (helper.php)
– f9d6a75875991086e1fb5985fc239df3: PHP WebShell (s.php)
C&C URL’leri
–hxxp://121.135.44[.]49:808/ptj: CobaltStrike Beacon
–hxxp://121.135.44[.]49:808/updates.rss: CobaltStrike Beacon
–hxxp://121.135.44[.]49:808/ga.js: CobaltStrike Beacon
– 202.30.19[.]218:521: Hayalet RAT
– gd.one188[.]bir:520: Gh0st RAT
URL’leri indirin
–hxxp://121.135.44[.]49:808/a4vR: CobaltStrike Stager
– hxxp://www.beita[.]site/api/2:2053: CobaltStrike Stager
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.