Wiz Research, PostgreSQL veritabanlarındaki yanlış yapılandırmaları ve diğer bulut hizmetlerini hem Linux hem de Windows sistemlerinde platforma özgü kötü amaçlı yazılımları dağıtmak için SOCO404 olarak adlandırılan aktif bir kriptominasyon kampanyası ortaya çıkardı.
Daha geniş bir kripto-scam altyapısının bir parçası olan bu operasyon, PostgreSQL’in uzaktan kod yürütme programından (MITER T1190) kopyası gibi özellikleri kötüye kullanarak, maruz kalan hizmetler için fırsatçı taramadan yararlanır.
Saldırganlar, WIZ verilerinin, yüksek riskli bir saldırı yüzeyini temsil eden bulut ortamlarında kendi kendine barındırılan PostgreSQL dağıtımlarının yaklaşık üçte birini etkilediğini gösteren herkese açık erişilebilir örnekleri hedefliyor.
Bulut yanlış yapılandırmalarının sömürülmesi
Apache Tomcat’ta CVE-2025-24813 gibi zayıf kimlik bilgileri veya güvenlik açıkları yoluyla sızarak, tehdit aktörleri tespit ederken kötü amaçlı yazılımları dağıtmak için, kayda değer bir Kore ulaşım web sitesi de dahil olmak üzere tehlikeye atılmış meşru sunucularda yükleri barındırıyor.
Kampanya, SD-Pam veya çekirdek işçileri gibi meşru sistem işlemleri olarak kötü niyetli ikili işler gizliyor ve CRON işleri (MITER T1053.003) ve .profile (MITER T1546.004) gibi kabuk başlatma dosyalarında değişiklikler sağlar.
Kötü amaçlı yazılım yükleri, google sitelerinde ve özel alanlarda barındırılan sahte 404 hata sayfalarında, zararsız hata mesajları görüntüleyen ancak erişim üzerine yük çıkarma ve yürütülmesini kolaylaştıran sahte 404 hata sayfalarında Base64 kodlu bloblar olarak ustaca gömülüdür.
Derinlemesine teknik arıza
Linux varyantında, saldırganlar, taviz verilen Apache Tomcat sunucularından (MITER T1105) curl veya wget gibi araçlar aracılığıyla getirilen bir bellek içi damlalık komut dosyası yürütür.
Bu komut dosyası, bellekte açılan, yerel soketler üzerinden iletişim kuran çocuk süreçlerini (MITER T1559) ortaya çıkaran ve www.fastsoco.top gibi C2 alanlarına ana yük için bağlanan bir UPX dolu Go ikili (MITER T1027) indirir.
İkili, ld.so.preload’ı temizleyerek, haydut süreçleri öldürerek ve silmeleri (MITER T1070.002) silerek, büyük sayfalar için kök olarak çalışıyorsa sistem kaynaklarını optimize ederek ve AMD ORTEL CPU’lar için MSR kayıtlarını değiştirerek rakip madencileri ortadan kaldırır.
Kalıcılık, cron girişleri ve kabuk dosya enjeksiyonları ile güçlendirilir ve belirli cüzdan adreslerini kullanarak C3Pool ve Monerookean gibi havuzlarda kripto para madenciliğine yol açar.
Windows için OK.EXE, CerTutil, PowerShell Invoke-WebRequest veya Curl Rebbacks aracılığıyla teslim edilir ve C: \ Users \ Public gibi yazılabilir yollara düşer.
Rastgele isimlerle bir hizmet olarak kalıcılık (MITER T1543.003) oluşturur, Conhost.exe’ye (MITER T1055) enjekte eder, kaynak erişimi için winring0.sys sürücüsünü dağıtır ve aynı cüzdanla madenciliği başlatmadan önce olay günlüğü (MITER T1562.002).
Kanıt, SoCO404’ü, meşru borsaları taklit eden ve benzer yükleri yerleştiren SeeYouume.top gibi kripto-scam sitelerine bağlar ve bu da kriptajı sosyal mühendislik ile harmanlayan çok yönlü bir operasyon önerir.
Wiz’in dinamik tarayıcısı maruz kalan PostgreSQL’i zayıf kimlik bilgileriyle tanımlarken, çalışma zamanı sensörü sömürüden madenciliğe kadar anormal davranışları algılar (MITER T1496). Bu kampanya aktif olmaya devam ediyor, madencilik havuzlarındaki dinamik işçi sayıları devam eden enfeksiyonları gösteriyor.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Tanım |
|---|---|
| C9bb137d56fab7d52b3dbc85ae754b79d861a118bfb956faaaaaaaaaaaaaaaaaaaaa92c978285fff | Sha-256 soco.sh |
| Bac4b166dec1df8aa823a15136c82c8b50960b11a0c4da68b8d7dedcb0f3a794 | Sha-256 soco.sh |
| C67e876d7b3ae5f3c4fd626d8ba62e77bd47dfdf51f7a4438edddddddddddddd64bd0f88ce3a | Sha-256 soco.sh |
| 039CAA15C1A54B49250717E68CD1A78A4BE17B80E806241C340BA0674E5926 | Ldr.sh Sha-256 |
| 0AD013C5166900B9C57A7FF771DBBBFFF8B11F8A3BE46A85CFF6AD83CEB1A3F8D | Ldr.sh Sha-256 |
| 68bb9e294ba7f1b0426e16bdb5c8f29daa8e8d98ae7a430ead97f2ffadd3a | ELF kötü amaçlı SHA-256 |
| 8d06979a38e5ef6f03817a1d16ab75171528cfaf8f743bfe64b45abd6c26142 | SHA-256 OK.EXE Windows Kötü Yazılım |
| https://sites.google.com/view/2025soco/ | Yük barındırma sitesi |
| https://sites.google.com/view/dblikes | Yük barındırma sitesi |
| https://sites.google.com/view/sogoto | Yük barındırma sitesi |
| https://sites.google.com/view/osk05 | Yük barındırma sitesi |
| www.fastsoco.top | Yük barındırma sitesi |
| dblikes.cyou | Yük barındırma sitesi |
| SeeYouUe.top | Yük barındırma sitesi |
| Arcticoins.com | Kripto aldatmaca etki alanı |
| Diamondcapitalcrypro.com | Kripto aldatmaca etki alanı |
| nordicoins.com | Kripto aldatmaca etki alanı |
| hkcapitals.com | Kripto aldatmaca etki alanı |
| auto.c3pool.org | Madencilik havuzu |
| gulf.moneroocean.stream | Madencilik havuzu |
| 483f2xjkcuegxpm7waexam1be67eqdrzps7azk8hcgetsustmuxd1agffa3xshfyzefprlyhkm37btpfutkgctmsbvuuk | Saldırganın kripto cüzdan adresi |
| 8bmvxbfsnrfuxsfnyya9lqxsf2dbx3wumctemberjmytiche3xdcvq4wrije3xdcvq4joyjmviec5j1pz3wadez | Saldırganın kripto cüzdan adresi |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!