Araştırmacılar, Go ile yazılmış, platformlar arası ters kabuk arka kapısı olan Supershell’i kullanan ve saldırganlara tehlikeye atılmış sistemlerin uzaktan kontrolünü sağlayan, güvenliği zayıf Linux SSH sunucularını hedef alan bir saldırı kampanyası tespit etti.
İlk enfeksiyonun ardından saldırganların, ek savunmasız hedefleri belirlemek için tarayıcılar konuşlandırdıkları ve ardından tehlikeye atılmış sistemlerden toplanan kimlik bilgilerini kullanarak bu hedeflere sözlük saldırıları başlattıkları düşünülüyor.
Veriler, saldırganların savunmasız sistemlere yetkisiz erişim elde etmek için sıklıkla kullandıkları “root/password” ve “root/123456789” gibi yaygın parolalar da dahil olmak üzere tehdit aktörlerinin IP adreslerinin ve bunlara karşılık gelen kök kimlik bilgilerinin bir listesini ortaya koyuyor.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz katılın
Bu kimlik bilgilerinin tehlikeye atılmış cihazlarda bulunması, kötü amaçlı faaliyetler yürütmek, hassas bilgileri çalmak ve operasyonları aksatmak için kullanılabileceğinden önemli bir güvenlik riski olduğunu gösterir.
Bu zafiyetlerin tespiti ve azaltılması, sistemlerin potansiyel tehditlerden korunması açısından büyük önem taşımaktadır.
Tehdit aktörü, bir sistemi tehlikeye attıktan sonra kötü amaçlı komut dosyalarını indirmek ve çalıştırmak için çeşitli yöntemler kullandı.
Bir saldırgan, web sunucuları, FTP sunucuları ve hatta standart dışı portlar da dahil olmak üzere farklı kaynaklardan komut dosyaları indirmek için wget, curl, tftp ve ftpget komutlarını kullandı.
İndirilen betikler daha sonra kabuk komutları (sh, bash) kullanılarak yürütüldü, saldırgana uzaktan erişim izni verildi ve potansiyel olarak ek kötü amaçlı yazılımlar yüklendi ve ardından saldırganlar indirilen betikleri ve diğer dosyaları silerek saldırının izlerini ortadan kaldırmaya çalıştı.
Bir saldırgan, başlangıçta, dahili dizeleri, davranışları ve yürütme günlüklerinden tespit edildiği üzere, saldırgana uzaktan kontrol yetenekleri sağlayan, kötü yönetilen bir Linux sistemine gizlenmiş Supershell arka kapısını kurdu.
Birincil hedefin kontrol ele geçirmek olduğu düşünülse de saldırganın kişisel çıkarı için sistemin kaynaklarını sömürmek amacıyla XMRig gibi bir kripto para madenciliği yazılımı yüklemeyi de amaçlaması ihtimali var. Bu durum, savunmasız Linux sistemlerini hedef alan yaygın saldırı kalıplarıyla örtüşüyor.
Tehdit aktörleri, enfekte olmuş sistemlerin uzaktan kontrol edilmesini sağlayan ve potansiyel olarak veri hırsızlığına, sistem ihlaline ve diğer kötü amaçlı faaliyetlere yol açan Supershell arka kapısını kurarak kötü yönetilen Linux SSH sunucularını istismar ediyor.
ASEC’e göre bu tehdidi azaltmak için yöneticiler güçlü parola hijyenine, düzenli güncellemelere ve güvenlik duvarları gibi sağlam güvenlik önlemlerine öncelik vermeli.
Ek olarak, V3’ün güncel olduğundan emin olmak kötü amaçlı yazılım enfeksiyonlarını önlemek için çok önemlidir. Bu karşı önlemleri uygulayarak, kuruluşlar Supershell saldırılarına karşı savunmasızlıklarını önemli ölçüde azaltabilir.
Tespit edilen kötü amaçlı yazılımlar arasında bir Cobalt Strike arka kapısı, bir kabuk aracı indiricisi ve Backdoor/Linux olarak tanımlanan bir ElfMiner indiricisi bulunuyor. CobaltStrike.3753120’nin uzaktan erişim ve kontrol için dağıtıldığı tahmin ediliyor.
Kabuk aracısı indiricisi Downloader/Shell.Agent.SC203780, ek kötü amaçlı yükleri indirmek ve yürütmek üzere tasarlanmıştır.
ElfMiner indiricisi olan Downloader/Shell.ElfMiner.S1705, büyük ihtimalle kripto para madenciliği kötü amaçlı yazılımını indirmek ve yüklemek için kullanılmış.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial