CADO Security Labs, hem Windows hem de Linux sistemlerini hedefleyen yanlış yapılandırılmış Jupyter dizüstü bilgisayarlarından yararlanan sofistike bir kriptominasyon kampanyası belirledi.
Saldırı, nihayetinde Monero, Ravencoin ve diğerleri dahil olmak üzere çeşitli kripto para birimleri için madencileri dağıtmak için şifreli yükler ve COM nesnesi manipülasyonu dahil olmak üzere birden fazla gizleme aşaması kullanıyor.
Daha önce bildirilmemiş bu sömürü yöntemi, tehdit aktörlerinin savunmasız bulut altyapısından para kazanmak için taktiklerini nasıl geliştirmeye devam ettiklerini, potansiyel olarak bozulmuş sistem performansına, artan operasyonel maliyetlere ve etkilenen kuruluşlar için güvenlik risklerine neden olduğunu göstermektedir.
Gelişmiş çok aşamalı saldırı metodolojisi
Saldırı, tehdit aktörlerinin veri bilimcileri tarafından yaygın olarak kullanılan interaktif python geliştirme ortamlarına yanlış yapılandırılmış Jupyter not defterlerine eriştiğinde başlar.
Erişim kazandıktan sonra, saldırganlar bir Bash komut dosyası ve Microsoft Yükleyici (MSI) dosyası almaya ve yürütmeye çalışır.
Windows sistemlerinde, MSI dosyası ilk yükleyici olarak hizmet veren “Binary.FreedllBinary” adlı 64 bit yürütülebilir dosyayı yürütür.
Bu yükleyici, işlemi kolaylaştırmak için bileşen nesne modeli (COM) nesneleri kullanarak C: \ ProgramData dizininde depolanan “Java.exe” adlı ikincil bir yük oluşturur.
Meşru Java yazılımı öneren adına rağmen, bu yürütülebilir ürün aslında tespit etmek için UPX ile dolu kötü amaçlı yazılımdır.
Windows yükü, GitHub, Launchpad veya Gitee (Çin Github alternatifi) dahil olmak üzere çeşitli depolardan “x2.dat” adlı şifreli bir blob alır.
Bu veriler, spesifik olmayan ve anahtar değerlere sahip ChaCha20 algoritması kullanılarak şifrelenir, daha sonra Zlib ile sıkıştırılır.
Şifre ve dekompresyondan sonra, ortaya çıkan ikili gerçek amacını ortaya çıkarır: Monero, Sumokoin, ARQMA, Greft, Ravencoin, Wownero, Zephyr, Townforge ve Yadacoin gibi birden fazla kripto para birimini hedefleyen bir kriptominer.
Tehdit aktörleri, bu çok katmanlı yaklaşımı özellikle güvenlik kontrollerini atlamak ve tehlikeye atılan sistemlerde kalıcılığı korumak için uyguladılar.
Platformlar arası özellikler ve altyapı
Kampanya, Linux ortamları için farklı saldırı vektörleri ile sofistike platformlar arası yetenekleri göstermektedir.
İlk MSI yürütmesi başarısız olursa, saldırganlar iki elf ikili dosyasını indiren bir bash arka kapı olan “0217.js” i almaya ve çalıştırmaya çalışır – ”0218.elf” ve “0218.full” – uzak bir sunucudan.
Komut dosyası, bu dosyaları zaman damgası tabanlı adlandırma kurallarını kullanarak yeniden adlandırır, bunları/etc/,/tmp/veya/var/tmp/gibi sistem dizinlerine yerleştirir ve her 10 ila 40 dakikada bir yürütülmesi planlanan crontab girişleri aracılığıyla kalıcılık oluşturur.
Bu, sistem yeniden başlatıldıktan veya ilk kaldırma girişimleri yaptıktan sonra bile kötü amaçlı yazılımların aktif kalmasını sağlar.
Windows muadiline benzer şekilde, kötü amaçlı yazılımın Linux sürümü (“0218.elf”), birden fazla örneğin eşzamanlı olarak yürütülmesini önlemek için çeşitli sistem yollarında “cpudcmcb.lock” adlı bir kilit dosyası arar.
Daha sonra, birkaç potansiyel kaynaktan şifreli bir yük yükü alır, belirli bir nonce ve anahtarla chacha20 kullanarak şifresini çözer ve zlib ile dekomprese eder.
Son yük, Windows varyantıyla aynı kripto para birimlerini hedefleyen bir Cryptominer olarak işlev gören başka bir ELF ikilidir.
İlginç bir şekilde, araştırmacılar “0218.Full” nin son Cryptominer yükü ile aynı göründüğünü, ancak aynı madencilik yazılımının iki versiyonunu dağıtmanın nedenleri belirsizliğini koruyor.
Her iki varyant da belirli bir cüzdan kimliğine bağlı işlemlerle C3.wptask.cyou, Sky.wptask.Cyou ve Auto.skypool.xyz gibi madencilik havuzlarına bağlanır.
Diğer kampanyalara ve güvenlik önerilerine bağlantılar
Araştırmaları sırasında CADO Security Labs, aynı altyapıyı kullanarak PHP sunucularını hedefleyen paralel bir kampanya ortaya çıkardı.
Bu kampanya, hedefin Windows veya Linux çalıştırıp çalıştırmadığını kontrol eden aynı uzak sunucuda barındırılan bir PHP komut dosyası (“1.php”) kullanır, ardından Windows için uygun ikili – “php0218.exe” veya Linux için “php0218.elf” için indirilir.
Analiz, bunların Jupyter Notebook kampanyasında kullanılan ikili dosyalarla aynı olduğunu ve aynı tehdit aktörleri tarafından daha geniş bir işlem olduğunu gösterdiğini doğruladı.
Araştırmacılar ayrıca, Ivanti Connect Secure’a karşı Ocak 2024 saldırısı ve hem benzer taktikler, teknikler hem de prosedürler (TTPS) kullanan Kore Web sunucularını hedefleyen bir Haziran 2024 kampanyası da dahil olmak üzere önceki kampanyalara benzerlikler kaydetti.
Güvenlik uzmanları, maruz kalan bulut hizmetlerinin kriptominerler ve diğer kötü niyetli aktörler için ana hedefler olmaya devam ettiğini vurgulamaktadır.
Bu kampanyanın sofistike doğası-çok aşamalı icrası, platformlar arası yeteneği ve gizleme teknikleri-gelişen tehdit manzarasını vurgulamaktadır.
Bu riskleri azaltmak için kuruluşlar, tüm bulut hizmetleri için güçlü kimlik doğrulama mekanizmaları uygulamalı, Jupyter not defterleri gibi geliştirme ortamlarına halka erişimi devre dışı bırakmalı ve olağandışı etkinlik için sistem performansını ve ağ bağlantılarını düzenli olarak izlemelidir.
Ek koruyucu önlemler arasında katı ağ kısıtlamalarının uygulanması, boş örnekler için otomatik kesme politikalarının yapılandırılması ve yetkisiz erişim girişimlerini algılamak için bulut sağlayıcı güvenlik araçlarının kullanılması yer alır.
Jupyter not defterlerini hedefleyen bu kriptominasyon kampanyasının keşfi, tehdit aktörlerinin finansal kazanç için bulut kaynaklarından ödün vermeye yönelik yaklaşımlarında nasıl yenilik yapmaya devam ettiklerini ortaya koyuyor.
Yanlış yapılandırılmış hizmetlerden yararlanarak ve platformlar arası özelliklere sahip sofistike çok aşamalı saldırılar uygulayarak, bu işlemler hesaplama kaynaklarını tüketirken ve potansiyel olarak güvenlik açıkları oluştururken tespit edilmeyebilir.
Kuruluşlar, düzenli güvenlik denetimleri yoluyla sürekli uyanıklığı sürdürmeli, uygun yapılandırma yönetimi de dahil olmak üzere proaktif güvenlik önlemleri kullanmalı ve kullanıcıları geliştirme ortamlarını güvence altına almanın önemi konusunda eğitmelidir.
Bulutun benimsenmesi hızlanmaya devam ettikçe, ortaya çıkan bu tehditleri anlamak ve ele almak, operasyonel güvenlik ve performansın dijital altyapı boyunca sürdürülmesi için giderek daha kritik hale geliyor.
SOC/DFIR ekiplerinden misiniz?: Kötü amaçlı yazılım olaylarını analiz edin ve any.run -> şimdi ücretsiz başlayın.