Son yıllarda Linux sistemleri, 2023’ün ilk yarısında ortaya çıkan 260.000’den fazla benzersiz örnekle çeşitli tehdit aktörleri arasında öne çıktı.
Linux söz konusu olduğunda, tehdit aktörleri yıllarca tespit edilmeden birden fazla saldırı yürütebilir ve ele geçirilen sistemlerde uzun vadeli varlıklarını sürdürebilirler.
Kaspersky Lab’deki siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin sistem verilerini ve şifrelerini çalmak için Linux’un Ücretsiz İndirme yöneticisini silah haline getirdiğini tespit etti.
Siber güvenlik analistleri şüpheli alanları araştırırken kalıcı ve uzun süreli bir saldırıyı ortaya çıkardı. Aşağıda güvenlik uzmanları tarafından analiz edilen alan adlarından bahsettik.
- 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]kuruluş
- c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]kuruluş
- 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]kuruluş
- c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]kuruluş
Silahlandırılmış Ücretsiz İndirme Yöneticisi
Bu alanlar, C2 iletişimi için alan oluşturma algoritmalarını kullanan potansiyel kötü amaçlı yazılımlara işaret ederek güvenlik araştırmacıları için alarma neden olur ve bu nedenle analistler öncelikli olarak aşağıdaki alana odaklandı: –
İncelenen alan adı “deb.fdmpkg” içeriyor[.]org” alt alan adı, aşağıdaki web sayfasına yönlendirir: –
Alt alan adı, ‘Free Download Manager’ Debian deposunu barındırdığını iddia ediyor, ancak “https://deb.fdmpkg” adresinde kötü amaçlı bir paket bulduk.[.]org/freedownloadmanager.deb”.
Bu paket, virüslü komut dosyalarını dağıtır ve her 10 dakikada bir /var/tmp/crond çalıştıran bir cron göreviyle kalıcılık oluşturur.
Etkilenen paket, Free Download Manager’ın 24 Ocak 2020 sürümünü yükledi. Rusça ve Ukraynaca yazılan postinst komut dosyası, kötü amaçlı yazılım iyileştirmelerine ve eylemci mesajlarına aşağıdaki tarihlerle atıfta bulunuyor: –
- 20200126 (26 Ocak 2020)
- 20200127 (27 Ocak 2020)
Kurulumdan sonra paket, başlangıçta cron aracılığıyla /var/tmp/crond’u tetikler ve Linux API erişimi için statik olarak bağlantılı dietlibc kullanan bağımsız bir arka kapı görevi görür. DNS isteği yoluyla ikincil bir C2 sunucusuyla iletişim kurar.
Artık DNS yanıtını ayrıştırdıktan sonra arka kapı, SSL için /var/tmp/bs veya TCP için kendi kendine yapılan kullanarak ikincil C2 sunucusuyla SSL veya TCP aracılığıyla bir ters kabuk oluşturur.
Crond arka kapısının ters kabuğunu keşfeden uzmanlar, onu bir kötü amaçlı yazılım analiz sanal alanında test etti ve bir Bash hırsızı bulduğunu tespit etti. Bu hırsız aşağıdaki gibi sistem bilgilerini toplar: –
- Arama geçmişi
- Kayıtlı şifreler
- Kripto cüzdan dosyaları
- Bulut hizmeti kimlik bilgileri
Çeşitli saldırı türleri ve bunların nasıl önleneceği hakkında bilgi edinmek için Canlı DDoS Web Sitesi ve API Saldırı Simülasyonu web seminerine katılın.
Şimdi Katıl
Aşağıda öncelikle hedeflenen bulut hizmetlerinden bahsettik: –
- AWS
- Google Bulut
- Oracle Bulut Altyapısı
- Azure
Çalan kişi, C2 sunucusundan bir yükleyici ikili dosyasını alır, /var/tmp/atd dosyasında saklar ve bunu, çalınan verileri saldırganların kontrolü altındaki altyapıya göndermek için kullanır.
Kökenler
Ayrıca güvenlik analistleri YouTube videolarında Free Download Manager için Linux kurulum eğitimleri buldu.
Free Download Manager paketinin enfeksiyon kaynağının izini sürdükten sonra araştırmacılar, keşfedilen implantları Bew arka kapısı ve Exim posta sunucusu güvenlik açığıyla ilişkilendirdi.
Kötü amaçlı yazılımın uzun geçmişine ve gürültülü implantasyonlarına rağmen, kötü amaçlı Free Download Manager paketi üç yıldan fazla bir süre boyunca tespit edilemedi ve dünya çapındaki kurbanları etkiledi.
Ancak bunun yanı sıra, güvenlik analistleri tarafından bu kampanyanın şu anda aktif olmadığı doğrulandı, ancak kullanıcılara Linux makinelerini güçlü güvenlik çözümleri ile donatmaları önerildi.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.