“DOTA” olarak da bilinen kanun kaçağı Cybergang, Linux ortamlarına küresel saldırısını yoğunlaştırdı ve Perl tabanlı bir kripto madenciliği botnetini dağıtmak için zayıf veya varsayılan SSH kimlik bilgilerini kullandı.
Kaspersky tarafından ele alınan Brezilya’da son zamanlarda yapılan bir olay müdahale davasından ayrıntılı bilgiler, grubun gelişen taktiklerini ortaya çıkarıyor.
Sofistike Tehdit Zayıf SSH kimlik bilgilerini hedefler
Saldırganlar, sistemlere sızmak için genellikle öngörülebilir şifrelerle güvence altına alınan “Sortre” gibi idari hesapları hedefliyor.
.png
)
İçeri girdikten sonra, “MDRFCKR” adlı uzak bir kullanıcıya bağlı yetkisiz SSH tuşları eklerler, bu da DOTA kampanyalarının ayırt edici özelliği, uzlaşmış sunuculara kalıcı erişim sağlar.
Bu olay, kamu telemetri verilerine dayanarak ABD, Almanya, İtalya, Tayland, Singapur, Tayvan, Kanada ve Brezilya’da önemli kurban kümeleriyle birlikte, Outlaw’ın erişimi birden fazla kıtaya yayıldığı için güçlü SSH konfigürasyonlarına yönelik kritik ihtiyacın altını çiziyor.
Çok aşamalı kötü amaçlı yazılım dağıtım ve kaynak kaçırma
Outlaw Gang, daha sonra kötü amaçlı sunuculardan birincil yük olan “dota.tar.gz” ı getiren birinci aşama komut dosyası “tddwrt7s.sh” indirme ile başlayan çok aşamalı bir enfeksiyon süreci kullanır.
Dekompresyon üzerine, “init0” ve “b/run” gibi konut komut dosyaları ve ikili dosyalar oluşturulur.
Kaspersky raporuna göre, bu bileşenler, CPU ve RAM kaynaklarını tekelleştirmek için rakip madencilerin taranması ve sonlandırılması ve belirli beyaz öğeli anahtar kelimelerden yoksun yüksek cpuusage süreçlerini öldürmek için süreç izleme kullanma da dahil olmak üzere sofistike davranışlar sergiler.
Dikkate değer bir öğe, bir kez kod çözüldüğünde, komut yürütmeyi, DDOS saldırılarını, bağlantı noktası taramasını ve dosya transferini HTTP üzerinden sağlayan IRC tabanlı bir botnet istemcisini ortaya çıkaran “B/RUN” içindeki gizlenmiş Perl komut dosyasıdır.
Ek olarak, “KSWAPD0” olarak adlandırılan değiştirilmiş bir XMRIG madenci (sürüm 6.19.0) olarak tanımlanan UPX dolu bir ikili, CPU kaynaklarını kullanarak Monero kripto para birimi, TOR aracılığıyla erişilebilen de dahil olmak üzere birden fazla madencilik havuzuna bağlanan konfigürasyonlarla.
Dosya gizleme ve gizli dizinler gibi kaçırma taktikleri ile eşleştirilen bu acımasız kaynak kaçırma, Outlaw’ın teknik kahramanını sergiliyor.
Sistem yöneticilerinin, varsayılan SSH bağlantı noktalarını değiştirme, şifre tabanlı kimlik doğrulamasını devre dışı bırakma ve bu kalıcı tehditleri engellemek için güvenilir IPS bağlantılarını sınırlarken anahtar tabanlı erişimi uygulama gibi katı güvenlik önlemlerini benimsemeleri istenir.
Telemetri, Aralık 2024’ten Şubat 2025’e kadar bir uyku döneminin ardından, bu tehlikeli grubun yeniden canlandığını işaret eden Mart 2025’te kurbanlarda önemli bir artış olduğunu gösteriyor.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Tanım |
|---|---|
| 15F7C9AF535F4390B14BA03DB90C732212DDE8 | Dosya karma (a) |
| 982C0318414C3FDF82E3726C4EF4E9021751BD9 | Dosya karma (init0) |
| f2b4bc2244ea8596a2a041308aa7508b6bd5 | Dosya karma (Kswapd0) |
| 4d5838c760238b7d792c99e64bd962e73e28435 | Dosya Hash (Run) |
| d0ba24f9fad04720dff79f146769d0d8120bf2ff | Dosya karma (kod çözülmüş perl betiği) |
| 45[.]9[.]148[.]99 | Saldırganın C2 Sunucusu |
| 483fmpjxwx75xmkaj3dm4vvgwzlhn3gdukychypvlr9sgit6oazgvH2izrpwkektzcamus8Kuwuorm3zgtwxpbfqwuxss | Monero cüzdan adresi |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!