Supershell, web servisleri aracılığıyla çalışan bir komuta ve kontrol (C2) uzaktan kontrol platformudur.
Kullanıcıların ters SSH tüneli kurmasına olanak tanır ve tamamen etkileşimli bir kabuk oturumu sağlar. Son zamanlarda, ASEC araştırmacıları bilgisayar korsanlarının Linux SSH sunucularına saldırmak için Supershell kötü amaçlı yazılımını aktif olarak kullandığını keşfetti.
Supershell Malware Saldırısı Linux SSH Sunucuları
Araştırmacılar, saldırının tehdit aktörlerinin Supershell arka kapısını kurduğu, güvenliği zayıf ve kötü yönetilen Linux SSH sunucularını hedef aldığını ortaya çıkardı.
Supershell, tüm büyük platformları (Windows, Linux ve Android) destekleyen çok yönlü bir kötü amaçlı yazılımdır ve Çince konuşan bir tehdit aktörü tarafından Go programlama dilini kullanarak geliştirilmiştir.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz katılın
Birincil işlevi, saldırganların enfekte olmuş sistemleri uzaktan kontrol etmelerini sağlayan ters bir kabuktur.
Saldırının aşamalı olarak gerçekleştiği, birden fazla sistemin tehlikeye atıldığı ve bir tarayıcının kurulduğu, ardından yetkisiz erişim elde etmek için çeşitli IP adreslerinden sözlük saldırıları girişiminde bulunulduğu tahmin ediliyor.
Başarılı bir saldırının ardından saldırgan, doğrudan “Supershell”i kurmak veya “indirici” görevi gören bir “kabuk betiği” dağıtmak için belirli komutlar yürüttü.
Kötü amaçlı yazılım hem “web sunucuları” hem de “FTP” sunucuları aracılığıyla dağıtılıyor, bu da erişimini artırmaya yardımcı oluyor ve yalnızca bununla kalmayıp tespitini de zorlaştırıyor.
Bu gelişmiş yaklaşım, çok platformlu kötü amaçlı yazılımları, stratejik dağıtım yöntemlerini ve SSH sunucu yapılandırmalarındaki yaygın güvenlik açıklarının istismarını birleştiren siber tehditlerin gelişen taktiklerini göstermektedir.
ASEC, Supershell arka kapısının, savunmasız Linux sistemlerini hedef alan bir kötü amaçlı yazılım türü olması nedeniyle, dahili ‘dizeleri’, ‘davranışı’ ve ‘yürütme süreci’ aracılığıyla tespit edilebileceğini söyledi.
Genellikle ‘XMRig’ veya ‘ShellBot’ ve ‘Tsunami’ gibi ‘DDoS botları’ gibi diğer kötü amaçlı yazılımlarla birlikte kurulur.
Supershell’in temel işlevi, tehdit aktörlerinin tehlikeye atılan Linux SSH sunucularına uzaktan komuta edebilmesini sağlayan kontrolü ele geçirmektir.
İlk kurulum bu arka kapıyı kurmaya odaklansa da, asıl amacı kripto para madenciliği yapmaktır.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Karmaşık şifreler kullanın.
- Düzenli olarak değiştirilen şifreler.
- En son güvenlik yamalarını uygulayın.
- Yetkisiz erişimi kısıtlamak için güvenlik duvarlarını kullanın.
- Kötü amaçlı yazılım enfeksiyonlarını engellemek için güvenlik yazılımınızı güncel tutun.
IoC’ler
MD5
4ee4f1e7456bb2b3d13e93797b9efbd3
5ab6e938028e6e9766aa7574928eb062
e06a1ba2f45ba46b892bef017113af09
URL
http[:]//45[.]15[.]143[.]197/sensi[.]sh
http[:]//45[.]15[.]143[.]197/ssh1
http[:]//45[.]15[.]143[.]197/x64[.]bin
http[:]//45[.]15[.]143[.]197[:]10086/supershell/compile/download/ssh
http[:]//45[.]15[.]143[.]197[:]44581/ssh1
IP
107[.]189[.]8[.]15
179[.]61[.]253[.]67
2[.]58[.]84[.]90
209[.]141[.]60[.]249
45[.]15[.]143[.]197
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial