Bulut platformlarının ölçeklenebilirliği ve esnekliği, son zamanlarda bulutta ortaya çıkan kripto madencilik saldırıları eğilimini artırdı.
Kaynakların ölçeğini büyütmenin zor olduğu şirket içi altyapının aksine, bulut ortamları, saldırganların kripto madenciliği için kaynakları hızlı bir şekilde dağıtmasına olanak tanıyarak istismarı kolaylaştırır.
Bulut kripto madenciliğinin en yaygın tehditlerinden biri “Kinsing kötü amaçlı yazılımdır”.
Siber güvenlik araştırmacıları yakın zamanda Kinsing kötü amaçlı yazılımının aktif olarak Apache Tomcat sunucusuna güvenlik açıklarıyla saldırdığını keşfetti.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Teknik Analiz
Köklü bir kötü amaçlı yazılım ailesi olan Kinsing gibi kötü amaçlı yazılım aileleri, Linux tabanlı bulut altyapısında uzmanlaşmıştır ve güvenlik açıklarından yararlanarak yetkisiz erişim elde etmeyi amaçlamaktadır.
Çoğu durumda Kinsing’in arkasındaki bilgisayar korsanları, arka kapılar veya kripto madencileri kurmak için güvenliği ihlal edilmiş sistemleri kullanıyor.
Kinsing, bir sisteme bulaştığında sistem kaynaklarını kripto madenciliği için kullanır, bu da maliyetlerin artmasına ve sunucu performansının düşmesine neden olur.
Son bulgular, grubun Apache Tomcat sunucularına Kinsing kötü amaçlı yazılımı aracılığıyla saldırdığını ve herhangi bir masum dosya konumunu kullanarak kalıcılıkları gibi dosya sistemlerinde saklandığını gösteriyor.
Bu kampanyalar, kötü amaçlı arka kapılar ve kripto madencileri yüklemek için konteynerlerin ve sunucuların kusurlarını kullanıyor.
Bu örnekte, ciddi güvenlik açıklarına sahip bir Apache Tomcat sunucusu da dahil olmak üzere, tek bir ortamda çok sayıda sunucuya aynı anda virüs bulaştı.
Statik içeriği kamuya yayınlayan açık kaynaklı bir sunucu olan Apache Tomcat, Kinsing failleri için cazip bir hedeftir.
Kinsing kötü amaçlı yazılımı, gizli kalabilmek için, herhangi bir sistemde, kimsenin bakmayı asla düşünmeyeceği yerlerde bir dosya olarak görünmek için alışılmadık hileler kullanıyor.
Dört bölgede bulunur ve aşağıda bunlardan bahsettik: –
- /var/cache/man/cs/cat1/ (burada kullanıcı komut kılavuz sayfaları genellikle bulunur)
- /var/cache/man/cs/cat3/ (burada kitaplık işlevi kılavuz sayfaları genellikle bulunur)
- /var/lib/gssproxy/rcache/ (açıklama yok)
- /var/cache/man/zh_TW/cat8/ (uzmanlar burada sysadmin komutlarını bulur, ancak bunların arasında Tayvan/Çince dizin yapısı da eklenmiştir)
Varsayım, savunucuların ‘man’ veya ‘manuel’ sayfa dizinleri ve sahte yerel ayar klasörü kullanmaları nedeniyle kötü amaçlı dosyalar için bu tür konumlara nadiren eleştirel bir bakış attıkları ve dolayısıyla bu konumları Kinsing için ideal saklanma noktaları haline getirdiği yönündedir.
Keşfedilmekten kaçınmak için Kinsing kötü amaçlı yazılımı, meşru sistem dosyalarının genellikle bulunduğu alanlara gizlenir.
Saldırganlar, bu tür masum görünen yolları kullanarak kötü amaçlı yazılımlarının ele geçirilen sistemlerde fark edilmeme şansını artırır.
Tespit edilen kötü amaçlı dosya yeni değildi ve ilk kez 2022 sonlarında Çin’de görüldü.
Ancak Tomcat sunucusuna yapılan bu özel saldırı, 2023 yılının ortalarında, dosya oluşturma tarihlerinin Haziran ile Temmuz 2023 arasında olduğu ve bir yıl boyunca tespit edilemeyen kötü amaçlı bir operasyonla başladı.
Kötü amaçlı yazılım, gizlilik odaklı Monero kripto para birimini çıkaran XMRig kripto madencisinin eski 6.12.2 sürümünü kullanıyor. GitHub, indirmek için halihazırda mevcut 6.21.2 sürümüne sahiptir.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers