Güvenlik işlemleri
Saldırganlar Katalog IP adreslerini açık bağlantı noktaları ile, sömürülebilir hizmetler arıyor
Mathew J. Schwartz (Euroinfosec) •
26 Haziran 2025
Birisi – Kimse Kim Bilmiyor – Moveit Secure Dosya -Transfer kurulumları için kitlesel İnternet taramaları gerçekleştiriyor, kitle saldırısının öncüsü olabilir.
Ayrıca bakınız: Ondemand – SaaS veri korumasındaki sessiz boşluklar kimse hakkında konuşmuyor
Tehdit istihbarat firması Greynoise, MoveIT yazılımı arayışında taramaları çalıştıran benzersiz IP adreslerinde günlük bir dalgalanmayı izlediğini söyledi. Bu aktivite “hedef doğrulamayı veya istismar testini temsil edebilir” ve genellikle daha önce bilinmeyen kusurların vahşice sömürülmesinden önce iki ila dört hafta öncesinde olduğunu söyledi.
Dalgalanma 27 Mayıs’ta başladı, önceden günde neredeyse hiç taramadan geçerek – 28 Mayıs’ta 319 IP’ye yükselmeden önce 100 benzersiz IPS’ye kadar 10 IP’den daha azı – 100 benzersiz IP’ye. Tarama hacmi günde 200 ila 300 IPS’de sabit kaldı, bu da “hareket transferinin bir kez daha çapraz manzaralarda olduğunu” gösterdi.
12 Haziran’dan itibaren firma, MoveT’de bilinen iki kusuru hedefleyen “düşük hacimli sömürü girişimleri” kaydetti: CVE-2023-34362 ve CVE-2023-36934.
Massachusetts firma ilerleme yazılımı tarafından geliştirilen MoveTiT’in bilgisayar korsanlarıyla bir geçmişi var. Ransomware Group Clop, 2023 yılında bir toplu saldırı için hedef aldı. CL0P olarak da bilinen çete, yönetilen dosya transfer yazılımında sıfır gün güvenlik açıklarına çarpma, verileri çalma ve silme sözü karşılığında gasp parası talep etme konusunda uzmanlaşmıştır. Rusça konuşan çete, hareketsiz hackerların erişim kazanmasına izin veren şimdi daplanmış bir sıfır gün sömüren hareket hedefleme kampanyasında tahmini 75 milyon dolar ila 100 milyon dolar kazandı. Daha yeni bir klop kitle saldırısı, 2024’te Cleo Communications’ın uyumunu, Vltrader ve Lexicom MFT yazılımını hedefledi (bkz: Online gasp çete klopu Cleo Hacking kurbanlarını tehdit ediyor).
Greynoise, Moveit izlemesinin en az 682 benzersiz IP adresine kadar izlenmesinin – bunların engellenmesini önerir – bunların% 44’ü Tencent Cloud Networks tarafından kontrol edilen alanları,% 17’si Cloudflare’ye,% 14’ü Amazon’a ve% 5’i Google’a ele almaya karar verdiğini söyledi. Bu konsantre tarama, özellikle tek bir Tencent otonom sistem numarasından, “taramanın rastgele veya dağıtılmış problamadan ziyade kasıtlı ve programlı olarak yönetildiğini göstermektedir” dedi.
Grinnoise tarafından gözlemlenen tarama faaliyeti muhtemelen tehlikeye atılan hesaplardan kaynaklanmaktadır. Dynarisk Tehdit İstihbaratı başkanı Milivoj Rajić, “Bilgisayar korsanları genellikle yüksek bant genişliğine sahip VPN sunucularına çalıntı erişim satıyor, daha sonra tarama için kullanılan” dedi.
Gerçek için: Hizmet Olarak Tarama
Firmanın uyarısı, bilgisayar korsanlarının interneti düzenli olarak kullanılabilir güvenlik açıklarına sahip kamuya açık sistemler arayan bir hatırlatmadır. Gizem tarayıcı bu bilgileri doğrudan sistemleri kesmek veya başkalarına bilgi sağlamak için kullanabilir.
Inversion6’dan Ciso Ian Thornton Trump, “Kesinlikle, hizmet olarak taramak ‘bir hizmet olarak taramak siber suç ekosisteminin bir parçasıdır.” Dedi. Diyerek şöyle devam etti: “Kritik güvenlik açıkları uzun bir geçmişine sahip olan artan Moveit taraması, belki de yeni bir güvenlik açığına veya mevcut bir yamadan türetilen bir güvenlik açığına odaklanan bir ters mühendislik çabasıyla yamalı sistemlere karşı yeni bir istismar için hazırlıklı olabilir.”
Siber suç yeraltında hacimli miktarlarda IP tarama bilgileri satın alınıyor, satılıyor, işlem görüyor veya serbestçe tedarik ediliyor.
Dynarisk’ten Rajić, Mayıs ayında bir veya daha fazla açık portun tespit edildiği yaklaşık 76 milyon taranan IP adresi içeren bir telgraf kanalında değiştirilmiş 1.6 gigabayt dosyayı keşfettiği bilgi güvenliği medyası grubuna anlattı. “Bu dosya hacker topluluklarında dolaşıyor ve hem siber güvenlik profesyonelleri hem de kötü niyetli aktörler için son derece değerli olabilir” dedi.
Rajić, bilgilerin kamuya erişilebilir Nesnelerin İnterneti tarayıcıları Shodan ve Censys kullanılarak ve “savunmasız limanları tanımlamak için bağımsız taramalar yaparak” bir araya getirildiği görülüyordu.
Belirli protokoller için belirli ağları ve IP aralıklarını taramak için kullanılabilecek Windows ve Linux için birden fazla araç mevcuttur. “Daha iyi sonuçlar elde etmek için, tarayıcıların belirli gecikmelerle yapılandırılması ve IP adreslerini tanımlanmış bir maksimum oran kullanarak daha uzun bir süre taramak gerekir.” Dedi. “Bazı cihazların tespit edilmesi kolay değildir, bu nedenle tarama süresinin buna göre artırılması veya azaltılması gerekebilir.”
76 milyon listeden alınan 700 IP adresinin testinde, yaklaşık 600’ün “duyarlı olduğunu, yani birçoğunun aktif kaldığı anlamına geldiğini” buldu. IP adreslerinden daha azını içeren bir testte, çoğu zaman dosyada listelenenden daha fazla açık bağlantı noktası da dahil olmak üzere “önemli” bir açık bağlantı noktası buldu.
“Bir saldırgan için bir sonraki mantıklı adım, bu bağlantı noktalarının arkasında çalışan hizmetleri veya cihazları tanımlamak ve daha sonra bunlarla ilişkili bilinen güvenlik açıklarını aramak olacaktır.” Dedi. İnternet bağlantılı yazılım, web sunucularıyla bağlantı kurmak için bağlantı noktaları kullanır. Binlerce liman resmi veya gayri resmi olarak belirli kullanımlara bağlıdır. Saldırganlar, “bir cihaz, örneğin bir veritabanı, bir web sunucusu veya bir tür endüstriyel ekipman olsun, hepsi mevcut istismarlara göre hedeflenebilecek” bağlantı noktası verilerinden toplanabilir.
Gizem tarayıcısının açık bağlantı noktalarını ve bilinen güvenlik açıklarını detaylandıran IP adresleri listeleri için ne kadar ücret alabileceği açık değildir, ancak bu tür listeler bazen serbestçe işlem görür. Rajić, “Bilgisayar korsanları onları ücretsiz olarak teklif ediyorsa, bu, her şeyi zaten değerli olarak çıkardıkları ve şimdi toplulukta daha fazla ün kazanmak veya daha fazla dikkat çekmek için IP adreslerini verdikleri anlamına gelebilir.” Dedi.
Kitle taramasına ve temsil ettiği tehdide karşı bir savunma olarak, Inversion6’nın Thornton-Trump savunucuları, İngiltere’nin Ulusal Siber Güvenlik Merkezi gibi kuruluşların erken uyarı hizmetlerini, güvenlik açıklarını tespit edebilen ve işaretleyebilen saldırı yüzey numaralandırma araçlarını ve dibliye teknolojisi, yani Honeypots, keşif baskılarını tespit etmek için kullanıyor. Tehdit istihbarat beslemeleri de mevcuttur, hangi kuruluşların hem gelen hem de giden trafiğe karşı başvurabilecekleri uzlaşma göstergelerini sunar.
ISMG’ye verdiği demeçte, kamuya açık tüm hizmetlerin yamalı, sertleştirilmiş ve izlendiğinden ve web uygulaması güvenlik duvarları ve içerik dağıtım ağları kullanılarak korunduğundan emin olun. Ayrıca anahtar, çevrimiçi ve çevrimdışı “her şeyi yedeklemek” ve “aynı altyapıdaki anlık görüntülerin yedek olmadığını” hatırlamaktır.