Çin “8220” (Water Sigbin) madencilik çetesi tarafından Cgo’da yazılan k4spreader adlı yeni bir ELF kötü amaçlı yazılım aracı Haziran 2024’te keşfedildi.
Değiştirilmiş bir UPX paketleyiciyle paketlenmiş olan k4spreader, Tsunami DDoS botnet ve PwnRig kripto madencisi dahil olmak üzere diğer kötü amaçlı yazılımları yükler.
Çok değişkenli araç (gözlenen 3 değişken) kalıcılık, kendi kendine güncelleme ve indirme işlevlerini gösterir ve muhtemelen hala geliştirilme aşamasındadır.
CVE_2020_14882, JBoss_AS_3456_RCE ve YARN_API_RCE güvenlik açıklarından yararlanılarak yayılıyor; burada pasif DNS analizi, k4spreader ile ilişkili C&C sunucularının aynı zamanda “8220” grubuna ait diğer kabuk komut dosyaları ve madencilik havuzlarından gelen trafiği de yönettiğini ve bunun sonucunda yüksek miktarda aktivite oluştuğunu ortaya çıkardı. .
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
En aktif C&C sunucuları dw.c4kdeliver.top (290.000 isabet), run.sck-dns.ws (230.000 isabet) ve (220.000 isabet)’tir.
K4spreader, CGO’da yazılmış, statik antivirüs yazılımı tarafından tespit edilmekten kaçınmak için değiştirilmiş bir UPX paketleyicisi kullanan, kalıcılık, kendi kendini güncelleme yetenekleri sergileyen ve Tsunami ve PwnRig gibi kötü amaçlı yükleri enjekte eden bir kötü amaçlı yazılımdır.
En son sürüm (v3), çalışma zamanı bağlantı noktalarını günlüğe kaydetme ve tespit etme gibi işlevler ekleyerek kaçınma tekniklerini güçlendirir ve her sürümün işlevsel karmaşıklığında bir artışa tanık olduğu k4spreader’ın gelişen doğasını vurgular.
Xlab tarafından yapılan araştırma, yeniden başlatmalar sırasında sistem kalıcılığı elde etmek için üç yöntemi açıklamaktadır; burada ilk yöntem, bir programı (klibsystem4) bir sistem dizinine (/bin/klibsystem4) kopyalamak için kullanıcının bash başlangıç dosyasını (.bash_profile) değiştirir ve ardından onu çalıştırır.
İkinci yöntem, klibsystem4’ü kopyalayan ve arka planda çalıştıran bir sistem hizmeti komut dosyası (/etc/init.d/knlib) oluştururken, üçüncü yöntem, klibsystem4’ü kopyalayan ve arka planda çalıştıran bir systemd hizmet dosyası (/etc/systemd/system/knlibe.service) oluşturur. ikinci yöntemle aynı işlevselliği elde eder.
Bu üç yaklaşımın her biri güncellenmiş versiyonda “knlib” veya “klibsystem4” ifadesinin “dpkg-deb-package” ile değiştirilmesini gerektiriyor.
Kötü amaçlı yazılım düşürücü k4spreader, verileri içindeki Tsunami botnet ve PwnRig madenci gibi kötü amaçlı programları gizler; bu gömülü dosyalar yerleşik bir ELF tablosunda saklanır ve k4spreader_utils_ExecuteEmbeddedBin() işlevi kullanılarak yürütüldükten sonra serbest bırakılır.
Tablo yapısı, gelecekteki kötü amaçlı yazılımların kolayca eklenmesine olanak tanır. Tsunami (bi.64), DDoS saldırıları için kullanılan bir IRC botudur; PwnRig (bin.64), “8220” çetesinin dropper tekniğinin Mayıs 2021’den beri gözlemlendiği Monero kripto para birimi için bir madencidir.
Güvenlik duvarı ve iptables kurallarını devre dışı bırakmak, şüpheli işlemleri ve zamanlanmış görevleri kaldırmak ve güvenlik duvarını devre dışı bırakarak, iptables kurallarını temizleyerek ve ld.so.preload dosyasını temizleyerek elde edilen çalışma durumunu günlüğe kaydetmek için kullanılabilecek bir araçtır. Kötü amaçlı anahtar kelimeler içeren cron işlerini kaldırmak, işlemleri işlem kimlikleri veya adlarına göre sonlandırmak ve işlem durumlarını günlüğe kaydetmek.
Kötü amaçlı yazılım, yürütme için C2 sunucusundan (IP 185.172.128.146) kendisinin bir kabuk sürümünü (2.gif adlı bir dosya) indirir ve önceden kodlanmış kötü amaçlı dosyaları dağıtmamak dışında orijinal k4spreader ile benzer işlevler sergiler.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free