Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Saldırı Dalgası ShellBot, Tsunami, ChinaZ DDoS Bot ve XMRig CoinMiner’ı Etkiliyor
Prajeet Nair (@prajeetspeaks) •
27 Aralık 2023
Bilgisayar korsanları, diğer savunmasız sunucuları tehlikeye atmak için bağlantı noktası tarama ve sözlük saldırılarına yönelik araçlar yüklemek, kripto para birimi madenciliği ve dağıtılmış hizmet reddi saldırıları için bir ağ oluşturmak amacıyla Linux Secure Shell sunucularını hedef alıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
AhnLab Güvenlik Acil Durum Müdahale Merkezi’ndeki araştırmacılar, bilgisayar korsanlarının SSH hizmeti veya 22 numaralı bağlantı noktası etkinleştirilmiş sunucuları aramak için IP taraması yaptığı, ardından kimlik ve parolayı almak için kaba kuvvet veya sözlük saldırısı başlattıkları saldırı kampanyalarını analiz etti.
“Tehdit aktörleri, DDoS botları ve CoinMiners’ın yanı sıra, virüslü sistemlere tarama, kaba kuvvet veya sözlük saldırıları gerçekleştiren kötü amaçlı yazılımlar da yükleyebilir ve bu da onların daha savunmasız sistemlerden yararlanmasına olanak tanır. Tehdit aktörleri ayrıca yalnızca tarayıcı kurmayı ve satmayı da tercih edebilir. Araştırmacılar, “dark web’de IP ve hesap kimlik bilgilerini ihlal etti” dedi.
AhnLab araştırmacıları, ShellBot, Tsunami, ChinaZ DDoS Bot ve XMRig CoinMiner dahil olmak üzere kötü yönetimli Linux SSH sunucularına yapılan saldırılarda kurulan yaygın kötü amaçlı yazılımları tespit etti.
Saldırı Analizi
Tehdit aktörleri, kötü amaçlı yazılım yüklemeden önce bir kimlik ve şifre kullanarak SSH hizmeti etkinleştirilmiş Linux sunucularına giriş yapmaya çalışır. Oturum açtıktan sonra kötü amaçlı yazılım yüklerler.
Yakın zamanda yaşanan bir vakada, tehdit aktörü muhtemelen daha savunmasız sistemleri tespit etmek için kötü amaçlı yazılım yerine ek tarayıcılar yüklemeyi tercih etti.
Giriş yaptıktan sonra tehdit aktörünün ilk adımı, ele geçirilen sunucudaki CPU çekirdeği sayısını belirlemek oldu. Bilgisayar korsanı ayrıca hesap kimlik bilgilerini de ele geçirerek bu kimlik bilgilerini kullanarak tekrar oturum açmalarına ve bağlantı noktası tarayıcısı ile SSH sözlüğü saldırı aracını içeren sıkıştırılmış bir dosyayı indirmelerine olanak tanır.
Saldırı kampanyasında kullanılan kötü amaçlı yazılımların analizi sırasında araştırmacılar, bilgisayar korsanlarının adlı bir Bash komut dosyasını çalıştırdığını buldu. go argümanla 212. go script, port tarayıcının, banner yakalayıcının ve SSH sözlüğü saldırı aracının bu sırayla başlatılmasından sorumludur.
“Port tarayıcı başlatıldığında, taranacak IP bandı ve port numarası argüman olarak verilmelidir. Port numarası 22 (SSH) olarak ayarlanır ve iletilen IP bant değeri IP A sınıfı bant için kullanılır.” araştırmacılar söyledi.