Mart 2025’in başlarında, kamuoyunda maruz kalan jeo-uzamsal sunucuları tehlikeye atmak için Geoserver’da (CVE-2024-36401) kritik bir uzaktan kod yürütme kusurundan yararlanan gizli bir kampanya ortaya çıktı.
Saldırganlar, Apache Commons kütüphanelerinde JXPath sorgusu enjeksiyonundan yararlandı ve hazırlanmış XML istekleri aracılığıyla keyfi kod yürütülmesine izin verdi.
Bu vektör, meşru pasif gelirli yazılım geliştirme kitlerini (SDK) ve uygulamalardan yararlanan ve kurban ağlarını etkili bir şekilde yasadışı proxy çiftliklerine dönüştüren özelleştirilmiş yürütülebilir ürünlerin sessiz dağıtımını sağladı.
İlk dalgadan sonraki günler içinde, Palo Alto Networks analistleri, savunmasız geoserver örneklerine karşı aktivitenin araştırılmasında önemli bir artış olduğunu kaydetti.
.webp)
Cortex Xpanse telemetri, sadece Mayıs 2025’in ilk haftasında 3.700’den fazla halka açık sunucuyu ortaya çıkardı ve tehdit aktörlerine sunulan geniş saldırı yüzeyinin altını çizdi.
Bu rakipler, 37.187.74’ten Dağıtım IP’lerini döndürerek kaçınma için hızlı bir şekilde hareket etti[.]75 ila 185.246.84[.]189 ve arka uç altyapısının, 8080 numaralı bağlantı noktasında bir transfer.sh tarzı dosya paylaşım hizmeti içerecek şekilde genişletilmesi.
Bu kampanyanın arkasındaki para kazanma stratejisi, hızlı kaynak tüketimi konusunda uzun vadeli gizliliği destekledi.
Saldırganlar, gürültülü kripto para madencileri dağıtmak yerine, iki temel yük sundu: enfekte edilmiş ana bilgisayarlarda sessizce toplanan bant genişliği paylaşım oturumlarını ve gizli dizinler oluşturan ve minimal kaynak ayak izlerine sahip yürütülebilir dosyaları başlatan bir uygulama.
Her iki yük de meşru pasif gelir hizmetlerini taklit ederek imzaya dayalı savunmalarla tespit edilmelerini zorlaştırdı.
Makineleri sessizce web trafiğini ilettikleri veya konut vekil ağlarına katıldıkları için mağdurlar farkında kalmadı.
Saldırganlar, gerçek dart derlemiş ikili dosyaları entegre ederek, daha yaygın kötü amaçlı yazılım dilleri için ayarlanmış Linux sunucularını hedeflemek ve tespit tespit imzalarını hedeflemek için platformlar arası yeteneklerden yararlandı.
Uzlaşma göstergeleri, hxxp: //37.187.74 ile bağlantıları içerir.[.]75: 8080 ve hxxp: //64.226.112[.]52: 8080, nerede aşama bir senaryo gibi z593 Ek stagers getirdi.
Enfeksiyon mekanizması derin dalış
Bu kampanyanın en sinsi yönlerinden biri, JXPath’in uzatma işlevlerinden yararlanmasında yatmaktadır.
Hazırlanmış bir GetPropertyValue isteği aldıktan sonra, Geoserver’ın mülkiyet aksesuar mekanizması, saldırgan kontrollü bir ifadeyi geçti. iteratePointers yöntem.
Bu yük daha sonra javax.lang.Runtime.exec Uzaktan komut yürütmeyi tetikleyen işlev.
.webp)
Bu enjeksiyonu gösteren bir snippet aşağıdakileri izler:
Başarılı bir infaz üzerine, z593 Stager olarak hareket etti, altında gizli bir klasör oluşturdu /var/tmp/.cache ve iki ek yük getirme: z401yürütme ortamını oluşturan ve z402Ana yürütülebilir dosyayı gömülü bir SDK anahtarıyla başlattı.
.webp)
Bu aşamaları zincirleyerek, saldırganlar kalıcılık elde etti ve bant genişliği paylaşım süreçlerinin yeniden başlatılmada otomatik olarak devam etmesini sağladı.
Bu titiz, çok aşamalı yaklaşım sayesinde, tehdit aktörleri meşru SDK’ları ve dosya paylaşım hizmetlerinden yararlanmanın ağ kaynaklarının fark edilmemiş para kazanılmasını nasıl kolaylaştırabileceğini gösterdiler.
Güvenlik ekiplerinden derhal geoserver yamaları uygulaması, bilinen kötü niyetli IP’lere giden bağlantıları izlemeleri ve benzer kampanyaları engellemek için anormal JXPATH sorgularını tanımlayabilen davranışsal analitik dağıtmaları istenir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.