Linux Yöneticileri Dikkat! Sahte PuTTY İstemcisi Rhadamanthys Hırsızı

   Mart 26, 2024  Posted in CyberSecurityNews


Linux Yöneticileri Dikkat! Rhadamanthys Hırsızının Sahte PuTTY İstemcisi

PuTTY, çeşitli nedenlerden dolayı bilgisayar korsanlarının en popüler hedefleri arasındadır.

İlk olarak, genel olarak sunuculara ve sistemlere uzaktan erişim için kullanılır, dolayısıyla sızma için harika bir zemin oluşturur.

PuTTY'deki güvenlik açıklarından veya yanlış yapılandırmalardan yararlanmak, hassas verileri açığa çıkarabilir veya hedeflenen makinelerde kod yürütülmesine izin verebilir.

Bilgisayar korsanları, PuTTY kurulumlarına sızarak kapsamlarını ve etkilerini genişletmek için kalıcı arka kapılar ve yan geçiş ağları kurabilirler.

Malwarebytes Labs'taki siber güvenlik araştırmacıları yakın zamanda Linux yöneticilerini “Rhadamanthys” Stealer adlı sahte bir PuTTY istemcisi konusunda uyardı.

Sahte PuTTY İstemcisi Rhadamanthys Hırsızı

Bilgisayar korsanları, kötü amaçlı yazılım yükleyicilerini dağıtmak için PuTTY gibi yasal yazılımları taklit eden kötü amaçlı reklamlardan yararlanır.

Bu yükleyiciler, tespitten kaçarken sistemleri tehlikeye atmayı ve ek yükler dağıtmayı amaçlıyor.

Belge

Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması

Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :

  • Günümüzün kırılganlık yorgunluğu sorunu
  • CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
  • Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
  • Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon

Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:


Bu durumda, tehdit aktörü yanlışlıkla PuTTY ana sayfası olduğunu iddia eden ve resmi siteden önce arama sonuçlarının en üstünde görünen bir reklam satın aldı.

İlgisiz alan adı burada şüphe uyandırsa da, birçok reklam güvenilir markaları yakından taklit ediyor ve bu da onları, daha fazla istismara olanak tanıyan gizli kötü amaçlı yazılım yükleyicilerinin dağıtımı için etkili bir yem haline getiriyor.

Kötü amaçlı reklam (Kaynak - Malwarebytes)
Kötü amaçlı reklam (Kaynak – Malwarebytes)

Amerika Birleşik Devletleri'ndeki potansiyel kurbanlar sahte bir putty.org'a yönlendirilirken, diğerlerine güvenlik kontrollerini atlayan meşru bir sayfa gösteriliyor.

Bu yeniden yönlendirme zinciri çok aşamalıdır ve muhtemelen proxy'leri araştırır ve son kötü amaçlı yazılım yükünü sunmadan önce kurbanların IP'lerini günlüğe kaydeder.

PuTTY programı gibi davranan bu damlalık Go'da yazılmıştır ve saldırganlara gelecekteki kullanımları için güvenliği ihlal edilmiş sistemlere giriş noktası sağlar.

Böyle bir kampanyanın aldatmacaları ve yük taşıma şemasının karmaşıklığı, tehdit aktörlerinin fark edilmeden kötü amaçlı yazılımları ne ölçüde yayabileceğini ortaya koyuyor.

Sahte PuTTY sitesi (Kaynak - Malwarebytes)
Sahte PuTTY sitesi (Kaynak – Malwarebytes)

Bu, kurbanın aldatıcı reklam kampanyasını takip ettiğini ve sahte bir PuTTY sitesinden indirdiğini göstermek için yapılır.

IP'nin eşleşmesi durumunda CnC sunucusundan bir takip yükü alır; sonuç olarak çok aşamalı enfeksiyon zincirini daha da yayar.

Bu nedenle, bu fikri mülkiyet doğrulama süreci, bu kampanyaya katılmaya ikna edilmiş olabilecek potansiyel araştırmacıları veya bal küplerini ayırt etmelerine yardımcı olur.

Bu, hileli reklam kampanyaları yoluyla ihlal edilen başka herhangi bir sisteme ek yüklerin gönderilmesini engeller.

Rhadamanthys IP'si (Kaynak - Malwarebytes)
Rhadamanthys IP (Kaynak – Malwarebytes)

Raporu okuyan Go tabanlı damlalık, bir sonraki aşamadaki yükü, muhtemelen Rhadamanthys kötü amaçlı yazılımını bir komuta ve kontrol sunucusundan çekmek için SSH protokolünü gizlice kullanıyor.

Kötü amaçlı reklamlardan yükleyicilere ve son yüklere kadar kötü amaçlı yazılım dağıtım hizmetleri sunan bu çok bileşenli enfeksiyon zinciri, aynı kötü aktör tarafından kontrol edilen karmaşık bir kötü amaçlı reklam altyapısının varlığını göstermektedir.

Her ne kadar bu kampanya Google'a bildirilmiş olsa da, tehdit aktörlerinin güvenlik kontrollerinden kaçmak için tekniklerini nasıl sürekli değiştirdiklerini gösteriyor.

Bu tür gizli kötü amaçlı yazılım dağıtım planlarına karşı koymak için, güçlü kötü amaçlı yazılım tespiti ve reklam engelleme gibi proaktif savunma mekanizmaları çok önemlidir.

IoC'ler

Tuzak reklam alanı

Sahte site

Macun

  • Astrosfer[.]dünya
  • 0caa772186814dbf84856293f102c7538980bcd31b70c1836be236e9fa05c48d

IP kontrolü

Rhadamanthys

  • 192.121.16[.]228:22
  • bea1d58d168b267c27b1028b47bd6ad19e249630abb7c03cfffede8568749203

Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link