Siber güvenlik araştırmacıları, Apache HTTP sunucusunu etkileyen bilinen bir güvenlik kusurunu kullanan yeni bir kampanya keşfettiler. Linuxsys.
Söz konusu güvenlik açığı, Apache HTTP Server sürüm 2.4.49’da uzaktan kod yürütme ile sonuçlanabilecek yüksek şiddetli bir yol geçiş güvenlik açığı olan CVE-2021-41773’tür (CVSS skoru: 7.5).
“Saldırgan, kötü amaçlı yazılım dağıtmak için tehlikeli web sitelerinden yararlanır, gizli teslimat ve tespitten kaçınma sağlar.” Dedi.
Bu ayın başlarında gözlemlenen ve Endonezya IP adresinden kaynaklanan enfeksiyon dizisi 103.193.177[.]152, “RepositoryLinux[.]Org “Curl veya Wget Kullanarak.
Yük, beş farklı meşru web sitesinden Linuxsys Cryptourrency madencisini indirmekten sorumlu bir kabuk komut dosyasıdır ve kampanyanın arkasındaki tehdit aktörlerinin kötü amaçlı yazılımların dağılımını kolaylaştırmak için üçüncü taraf altyapısını tehlikeye atmayı başardıklarını düşündürmektedir.
Vulncheck, “Bu yaklaşım akıllıdır, çünkü kurbanlar geçerli SSL sertifikalarına sahip meşru ana bilgisayarlarla bağlantı kurarak algılamayı daha az olası hale getirir.” “Ayrıca, indirici sitesi için bir ayrılık katmanı sağlar (‘RepositoryLinex[.]org ‘) kötü amaçlı yazılımın kendisi orada barındırılmadığından. “
Siteler ayrıca, madencinin bir sistem yeniden başlatılması üzerine otomatik olarak başlatılmasını sağlayan “cron.sh” adlı başka bir kabuk komut dosyası barındırır. Siber güvenlik firması, saldırgan sitelerde iki Windows yürütülebilir dosyalar belirlediğini ve saldırganların Microsoft’un masaüstü işletim sisteminin peşinden gitme olasılığını artırdığını söyledi.
Linuxsys madencisini dağıtma saldırılarının, Eylül 2024’te Fortinet Fordiguard Labs tarafından belgelendiği gibi Osgeo Geoserver Geotools’ta (CVE-2024-36401, CVSS Puanı: 9.8) kritik bir güvenlik kusurunu kullandığını belirtmek gerekir.
İlginç bir şekilde, kusurun sömürülmesinin ardından düşen kabuk komut dosyası “RepositoryLinex’den indirildi[.]com, “Bir Endonezya dili olan Sundanca’da yazılmış kaynak koddaki yorumlarla. Aralık 2021’e kadar vahşi doğada aynı kabuk betiği tespit edildi.
Son yıllarda madenciyi teslim etmek için sömürülen diğer güvenlik açıklarından bazıları –
- CVE-2023-22527, Atlassian Confluence Veri Merkezi ve Confluence Server’da bir şablon enjeksiyon güvenlik açığı
- CVE-2023-34960, Chamilo Öğrenme Yönetim Sistemlerinde Bir Komut Enjeksiyon Güvenlik Açığı (LMS)
- CVE-2023-38646, Metabazda Komut Enjeksiyon Güvenlik Açığı
- CVE-2024-0012 ve CVE-2024-9474, Palo Alto Networks güvenlik duvarlarında kimlik doğrulama bypass ve ayrıcalık artış güvenlik açıklarıdır
Vulncheck, “Tüm bunlar, saldırganın uzun vadeli bir kampanya yürüttüğünü, N-Day sömürüsü, tehlikeye atılan evlerde içerik sahneleme ve kurban makinelerinde para madenciliği gibi tutarlı teknikler kullandığını gösteriyor.” Dedi.
“Başarılarının bir kısmı dikkatli bir hedeflemeden geliyor. Düşük etkileşim balayepotlarından kaçınıyorlar ve faaliyetlerini gözlemlemek için yüksek etkileşim gerektiriyorlar. Kötü amaçlı yazılım dağıtımı için tehlikeye atılmış konakların kullanımı ile birlikte, bu yaklaşım saldırganın incelemeden kaçınmasına büyük ölçüde yardımcı oldu.”
GhostContainer Backdoor tarafından hedeflenen değişim sunucuları
Geliştirme, Kaspersky’nin Asya’daki hükümet kuruluşlarını hedefleyen bir kampanyanın ayrıntılarını açıkladığı gibi, muhtemelen Microsoft Exchange Server’da bir N-Day Güvenlik Kususu ile, Hayalet. Saldırıların Exchange Server’da şimdi paketlenmiş bir uzaktan kod yürütme hatasını kullanmış olabileceğinden şüpheleniliyor (CVE-2020-0688, CVSS puanı: 8.8).
“Sofistike, çok fonksiyonlu arka kapı”, “ek modüllerin indirilmesi yoluyla keyfi işlevsellik ile dinamik olarak genişletilebilir” dedi Rus şirket, “Backdoor, saldırganlara değişim sunucusu üzerinde tam kontrol vererek bir dizi kötü amaçlı faaliyet yürütmelerine izin veriyor.”
Kötü amaçlı yazılım, Shellcode’u yürütebilen, dosyaları indirebilen, dosyaları okuyabilen veya silebilen, keyfi komutlar çalıştırabilen ve ek .NET bayt kodu yükleyebilen talimatları ayrıştıracak şekilde donatılmıştır. Ayrıca bir web proxy ve tünelleme modülü içerir.
Etkinliğin, Asya’daki yüksek teknoloji şirketleri de dahil olmak üzere yüksek değerli kuruluşlara yönelik gelişmiş bir Kalıcı Tehdit (APT) kampanyasının bir parçası olabileceğinden şüpheleniliyor.
Microsoft Exchange Server’ı derinlemesine anlamaları ve halka açık kodu gelişmiş casusluk araçlarına dönüştürme yetenekleri nedeniyle, saldırıların arkasında kimin olduğu hakkında çok fazla şey bilinmemektedir.
“GhostContainer Backdoor, herhangi bir bağlantı kurmuyor [command-and-control] Altyapı, “Kaspersky dedi.” Bunun yerine, saldırgan uzatılmış sunucuya dışarıdan bağlanır ve kontrol komutları normal değişim web istekleri içinde gizlenir. “