Arkasındaki tehdit aktörleri trafik yönlendirme sistemi (TDS), Ekim 2021’den bu yana aktif olan, tespit edilmekten kurtulma çabalarını hızlandırdı ve güvenliği ihlal edilmiş binlerce web sitesinde gizlenmiş kötü amaçlı komut dosyalarıyla potansiyel olarak milyonlarca insana ulaşabilir.
Birim 42’deki araştırmacılar takip ediyor Papağan TDS’si Eylül başında Brezilya merkezli, güvenliği ihlal edilmiş bir web sitesine ilişkin bir bildirimi araştırdıklarından beri, son blog yazısı. Bir araştırma, web sitesinin, dünya çapında güvenliği ihlal edilmiş binlerce sunucuyu kontrol eden ve kötü amaçlı JavaScript parçacıklarının çok sayıda varyasyonunu sunan Parrot TDS sisteminin bir parçası olarak tanımlanan enjekte edilmiş JavaScript içeren sayfalar sunduğunu ortaya çıkardı. Bir öncekinde Sucuri’den 2022’de soruşturma ve örneğin Avast’ta araştırmacılar Parrot TDS’nin güvenliği ihlal edilmiş web sitelerini gözlemlediler. FakeUpdates indiricisi (diğer adıyla SocGholish) şüphelenmeyen ziyaretçilere.
Birim 42 araştırmacıları gönderide “Parrot TDS, dünya çapındaki kurbanları hedef alan devam eden bir kampanyanın parçası” diye yazdı. “Bu kampanya aracılığıyla güvenliği ihlal edilen çeşitli web sitelerinden her gün açılış komut dosyası veya yük komut dosyası örneklerini görüyoruz.”
Papağan kötü amaçlı komut dosyaları enjekte ediyor sunucuda barındırılan mevcut JavaScript koduna aktarılır; bu kod, öncelikle belirli koşulların karşılanıp karşılanmadığını görmek için kurbanın profilini çıkarır ve ardından kurbanın tarayıcısını kötü amaçlı bir konuma veya içerik parçasına yönlendirebilecek bir yük komut dosyası sunar. Araştırmacılar, kampanyanın milliyet, coğrafya ve endüstri açısından agnostik olduğunu ve senaryoların dünya çapında çok sayıda sitede göründüğünü söyledi.
“Kötü niyetli veya kötü niyetli kampanyalar sırasında enjekte edilen JavaScript kodu Oldukça yaygın olan Parrot TDS, geniş kapsamı ve milyonlarca potansiyel kurbanı tehdit etme yeteneği nedeniyle dikkate değerdir” diye yazdı araştırmacılar.
Araştırmacılar, sistemin arkasındaki saldırganların, güvenlik araştırmacıları tarafından tespit edilmekten ve analiz edilmekten kaçma çabalarını da artırdığını belirtti; araştırmacılar, tek bir kod satırı yerine birden fazla satır enjekte edilmiş JavaScript kodu kullanan ve bir komut dosyasında fark edilmesi daha zor olan bir teknik de dahil olmak üzere, bu çabaları artırdığını söyledi. .
Kötü Amaçlı Parrot TDS Komut Dosyalarını Tanımlama
Saldırganlar muhtemelen istismar etmek için otomatik araçlar kullanıyor bilinen güvenlik açıkları Araştırmacılar, Parrot TDS komut dosyalarını sunmak için sunucuları devralacaklarını söyledi.
“Ehliyeti ihlal edilen sunucuların çoğunluğu WordPressBir web sitesini barındırmak için , Joomla veya diğer içerik yönetim sistemleri (CMS)” diye açıkladılar gönderide. “Sunucu tarafı güvenlik açıkları CMS ile sınırlı olmadığından, CMS olmayan web siteleri bile bu kampanya aracılığıyla tehlikeye girebilir.”
Parrot TDS komut dosyaları iki biçimde gelir: kurbanın, kötü amaçlı içeriğe yönlendiren bir takip yükü komut dosyası göndermek için uygun bir aday olup olmadığını görmek için tespit edilmekten kaçınmanın bir yolu olarak ortam kontrolleri gerçekleştiren bir açılış komut dosyası.
Parrot TDS veri yükü komut dosyalarının “ndsx” anahtar sözcüğünü kullanan ve dolayısıyla bunların tanımlanmasını nispeten kolaylaştıran yaklaşık dokuz sürümü vardır. Araştırmacılar, yalnızca kurban için bir çerez değeri belirleyen ve bunun dışında zararsız olan V1 dışındaki tüm komut dosyalarının kötü amaçlı olduğunu söyledi.
V2, araştırmacıların belirlediği örneklerin %70’inden fazlasını temsil eden en yaygın veri yükü komut dosyasıdır. Herhangi bir şaşırtmaca olmadan, kötü amaçlı bir URL’den JavaScript yüklemek için yeni bir komut dosyası etiketi oluşturur.
Parrot TDS veri yükü komut dosyası V3, gizleme içerir ve yalnızca Microsoft Windows çalıştıran kurbanları hedef alarak V2’ye benzer şekilde davranarak kötü amaçlı bir URL’den ek bir komut dosyası yükler.
V4 ve V5 veri yükü komut dosyaları da benzerdir; birincisi esasen bir V1 veri yükü komut dosyası artı ek kötü amaçlı koddan oluşurken V5, etkili bir şekilde bir V2 veri yükü komut dosyası artı ek koddur. Araştırmacılar, her iki durumda da ek kodun orijinal V1 veya V2 işlevlerinden önce göründüğünü söyledi.
“Bu ekstra yük komut dosyası kodunun temel işlevi, açılış sayfasındaki tüm tıklanabilir bağlantıları bağlamaktır” diye açıkladılar. “Web sayfasını ziyaret eden bir kişi bir bağlantıya tıkladığında, komut dosyası yeni bir resim nesnesi oluşturacak ve belirli bir URL’den yükleyecektir.”
Yük betiğinin V6’dan V9’a kadar olan kısmı daha fazla şaşırtmaca içeriyor ancak araştırmacılar bunların doğada kullanıldığını nadiren gördüklerini söyledi.
Papağan Isırmasından Azaltma ve Koruma
Araştırmacılar, blog gönderilerine Parrot TDS’nin sitelerinin güvenliğini ihlal etmesi durumunda web sitesi yöneticilerini uyarabilecek bir güvenlik ihlali göstergeleri (IoC) listesi eklediler. Parrot TDS için enjekte edilmiş açılış komut dosyası koduna sahip 100 örnek JavaScript dosyası için SHA256 karmalarının bir listesini içerirler; bu dosyalar araştırmacıların VirusTotal’a da gönderdiği dosyalardır.
Yöneticiler ayrıca “ndsj”, “ndsw” ve “ndsx” dahil olmak üzere kampanyayla ilişkili anahtar sözcükler için ilişkili Web sunucusunda barındırılan dosyaları arayabilir ve ayrıca bir Web sunucusunda herhangi bir ekstra .php dosyasını bulmak için bir denetim gerçekleştirebilir. Parrot TDS ile ilişkili kötü amaçlı komut dosyalarını keşfedin.
Gelecek nesil güvenlik duvarı Araştırmacılar, teknoloji ve gelişmiş URL filtrelemenin aynı zamanda kötü amaçlı trafiğin ve kampanyayla ilişkili tanımlanmış IoC’lerin engellenmesine de yardımcı olabileceğini söyledi.