Son saldırılar, kötü amaçlı betik yürütmeyi tetiklemek için karartılmış LDAP istekleri göndererek Log4j (Log4Shell) güvenlik açığından yararlanıyor; bu da kalıcılık sağlıyor, sistem bilgilerini topluyor ve verileri dışarı sızdırıyor.
Kontrolü sağlamak için birden fazla arka kapı ve şifreli iletişim kanalı kurulurken, saldırının sürekliliği ve tespit edilmekten kaçınma becerisi, Log4j güvenlik açığının oluşturduğu tehdidin devam ettiğini ortaya koyuyor.
Apache Log4j kütüphanesindeki kritik bir güvenlik açığı olan Log4Shell, Kasım 2021’de keşfedildi ve CVSS puanı 10 olarak belirlenerek saldırganların uzaktan keyfi kod çalıştırmasına olanak sağlıyordu.
Log4j’in yaygın kullanımı nedeniyle, istismar için birincil hedef haline geldi. Ulus devlet grupları ve siber suçlular da dahil olmak üzere çeşitli tehdit aktörleri bu güvenlik açığından hızla yararlandı.
APT41 ve Conti gibi gruplar, Log4Shell istismarlarını kendi operasyonlarına dahil ederek, bunun küresel siber güvenlik üzerindeki önemli etkisini ortaya koydu.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial
30 Temmuz 2024’te bir Confluence bal tuzağı, bilinen bir Tor çıkış düğümü olan 185.220.101’den bir Log4Shell istismar girişimi tespit etti [34]yeni ve fırsatçı bir kampanyanın başlangıcını işaret ediyor.
Daha detaylı inceleme sonucunda saldırganların, Log4Shell güvenlik açığından yararlanarak, tehlikeye atılmış sistemlere kripto para madenciliği yazılımı XMRig’i yerleştirdikleri ortaya çıktı. Bu durum, kötü amaçlı faaliyetlerde bulunmak için güvenlik açıklarından yararlanan fırsatçı tehdit aktörlerinin oluşturduğu devam eden tehdidi gözler önüne seriyor.
Bir saldırgan, LDAP URL’si içeren akıllıca gizlenmiş bir yük kullanarak Log4j güvenlik açığından yararlandı; bu güvenlik açığı, güvenlik açığı bulunan Java uygulamasının uzak bir sunucudan kötü amaçlı bir Java sınıfını alıp yürütmesine neden oldu.
Sınıf, başka bir sunucudan ikincil bir betik (“lte”) indirdi ve ardından bunu kök ayrıcalıklarıyla çalıştırdı. Amacı şu anda bilinmemekle birlikte, keyfi komutları çalıştırma yeteneği, daha fazla kötü amaçlı etkinlik için potansiyel olduğunu gösteriyor.
Kötü amaçlı Java sınıfı, uzak bir sunucudan sistem keşfi gerçekleştiren, bir kripto para madencisini indirip yapılandıran, systemd veya cron işlerini kullanarak kalıcılık sağlayan ve uzaktan kontrol için ters kabuklar kuran gizlenmiş bir Bash betiğini indirir.
CPU ayrıntıları, işletim sistemi sürümü, kullanıcı verileri, ağ bağlantıları, grup üyelikleri, çalışan işlemler ve sistem çalışma süresi gibi kapsamlı sistem bilgilerini toplar.
Bu veriler daha sonra HTTP POST isteği yoluyla uzak bir sunucuya iletilir.
Algılanmaktan kaçınmak için, betik kendini imha eder ve bash geçmiş dosyasının üzerine yazarak ve geçerli kabuğun komut geçmişini silerek izlerini temizler.
DataDog’un Log4Shell’in olası istismarına yönelik yaptığı araştırma, çeşitli tehlike göstergeleri (IOC) ortaya çıkardı.
Şüpheli bir IP adresi olan 185.220.101.34’ün yanı sıra superr.buzz, cmpnst.info, nfdo.shop ve rirosh.shop alan adları tespit edildi.
Ayrıca sistemde, geçici depolama için kullanılan /tmp/lte ve /bin/rcd, /bin/componist ve /bin/nfdo üzerinden komut yürütme girişimleri gibi şüpheli dosya yolları bulundu; bunlar, sisteme yetkisiz erişim sağlamak için Log4Shell güvenlik açığından yararlanma girişimi olabileceğini gösteriyor.
İşletmenizi Cynet Tarafından Yönetilen Hepsi Bir Arada Siber Güvenlik Platformuyla Koruyun – Ücretsiz Denemeyi Deneyin