Saldıran Bilgisayar Korsanları, Kötü Amaçlı Yazılım Dağıtmak İçin Binlerce PHP Tabanlı Web Uygulamasını Kullandı


Saldıran Bilgisayar Korsanları, Kötü Amaçlı Yazılım Dağıtmak İçin Binlerce PHP Tabanlı Web Uygulamasından Yararlandı

Bilgisayar korsanlarının küresel ölçekte kötü amaçlı yazılım dağıtmak için PHP tabanlı web uygulamalarındaki güvenlik açıklarından yararlanmasıyla büyük bir siber güvenlik tehdidi ortaya çıktı.

Imperva Tehdit Araştırması, özellikle Endonezya çevrimiçi kumar platformlarına odaklanan, binlerce web sitesini hedef alan koordineli bir kampanyayı ortaya çıkardı.

Python tabanlı botlardan kaynaklanan saldırılar, Endonezya hükümetinin yasadışı çevrimiçi kumarla mücadeleye yönelik yoğun çabalarıyla aynı zamana denk gelecek şekilde son iki ayda gözlemlendi.

Araştırmacılar, kampanyanın dünya çapındaki web sunucularını etkilediğini gözlemlese de, ülkedeki son yaptırım eylemleriyle uyumlu olarak Endonezya sitelerinde kayda değer bir yoğunlaşma var.

Bu kötü niyetli kampanyanın merkezinde, HackersChoice tarafından geliştirilen güçlü bir ağ oluşturma araç seti olan GSocket’in dağıtımı yer alıyor.

GSocket ağ oluşturma aracı (Kaynak – Imperva)

Saldırganlar, GSocket’i ele geçirilen sunuculara yüklemek için tek satırlık bir komut kullanarak NAT’ı ve güvenlik duvarlarını atlayan uzak bağlantıları mümkün kılıyor.

Bu araç, saldırganların ağ kısıtlamalarına bakılmaksızın ana bilgisayarlar arasında güvenli TCP bağlantıları kurmasına olanak tanır. Bilgisayar korsanlarının stratejisi, güvenliği ihlal edilmiş PHP sunucularındaki önceden var olan web kabuklarını hedeflemeyi içerir.

Saldırganlar, ortak web kabuğu yollarına yüksek miktarda istek göndererek ve bilinen parametreleri kullanarak, komutları yürütmek ve GSocket araç setini yüklemek için aktif web kabuklarını bulma şanslarını artırır.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free

Teknik Analiz

Popüler bir Öğrenme Yönetim Sistemi olan Moodle, bu kampanyanın öncelikli hedefi olarak belirlendi.

Müfettişler, GSocket enfeksiyonunun izlerini taşıyan çok sayıda arka kapılı Moodle örneği keşfetti. Saldırganlar, ilk arka kapıların kaldırılmasından sonra bile erişimi sürdürmelerine olanak tanıyan kalıcı mekanizmalar uyguladılar.

Daha ayrıntılı araştırmalar, ele geçirilen sunucuların Endonezya çevrimiçi kumar hizmetlerinin açılış sayfalarını barındırmak için kullanıldığını ortaya çıkardı.

Bu sayfalar yalnızca arama motoru botları tarafından görülebilecek şekilde tasarlanmıştır ve düzenli ziyaretçiler diğer kumar alanlarına yönlendirilir.

Sahte kumar web sayfaları (Kaynak – Imperva)

Bu taktik, saldırganların yasa dışı kumar faaliyetlerini teşvik etmek için meşru web sitelerinden yararlanmasına olanak tanır ve yetkililerin bu faaliyetleri kapatmasını zorlaştırır.

Endonezya’da yaygın olarak kullanılan kumar terimlerine yönelik arama motoru sonuçlarının, güvenliği ihlal edilmiş sitelerden oluşan geniş bir ağı ortaya çıkarması nedeniyle, bu istismarın boyutu oldukça büyüktür.

Bu yaklaşım, tehdit aktörlerinin bir kumar sitesi çevrimdışına alındığında hızlı bir şekilde uyum sağlamasını sağlayarak yasa dışı faaliyetlerinde minimum kesintiyi garanti eder.

Web sitesi sahipleri ve yöneticileri, dijital varlıklarını ve kullanıcılarını istismardan korumak için uyanık kalmalı ve siber güvenliğe öncelik vermelidir.

Bu kampanyayla ilişkili riskleri azaltmak için web sitesi yöneticilerine şunları yapmaları tavsiye edilir: –

  1. Web uygulamalarında arka kapıları ve yetkisiz değişiklikleri düzenli olarak kontrol edin.
  2. Düzenli yazılım güncellemeleri ve yamalar dahil olmak üzere sağlam güvenlik önlemleri uygulayın.
  3. Kötü amaçlı istekleri tespit etmek ve engellemek için Web Uygulaması Güvenlik Duvarlarını (WAF) kullanın.
  4. Şüpheli etkinliklere ve yetkisiz erişim girişimlerine karşı sunucu günlüklerini izleyin.

Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri



Source link