Savunmasız Bulut Sağlayıcılarını ve Uygulamalarını Hedefleyen Çinli Grup

Grup, faaliyetlerini gizlemek ve tespit edilmekten kaçınmak için çeşitli taktikler ve teknikler kullanıyor; bal küplerine takılmayı önlemek için bir engelleme listesinin kullanılması da dahil. Siber güvenlik firması Radware’e göre, “Yine de grup mükemmel değil ve bu yılın başında Radware’in Redis bal küplerinden birine bulaşmaya çalışırken yakalandı.”

Araştırmacılar, kripto madenciliği kampanyalarında uzmanlaşan tehdit gruplarının, genel bulut ortamlarını, yeterli veya esnek bilgi işlem kaynaklarıyla potansiyel hedefler sundukları için genel bulut ortamları da dahil olmak üzere çeşitli nedenlerle hedef aldığını söylüyor.

Araştırmacılar, “Birçok kuruluşun sınırlı görünürlüğe sahip olması, güvenlik ve ağ operasyonlarının güvenlik tehditlerini tespit etmesini ve bunlara yanıt vermesini zorlaştırıyor ve genel bulut sağlayıcıları da sınırlı güvenlik kontrolleri sunarak tehdit aktörlerinin güvenlik açıklarını bulmasını ve bunlardan yararlanmasını kolaylaştırıyor” diyor. .

Saldırı Yöntemleri

Saldırganlar, CPU ve GPU kaynaklarını kullanarak sistemleri yavaşlatan özel bir kripto madencisi olan ‘PwnRig’ kullandı. Bu aynı zamanda cihazların yanıt vermemesine neden olarak elastik bilgi işlem düğümlerinin kaynaklarını genişletmesine neden olur ve sonuç olarak “faturalandırma döngüsünün sonunda kurban için çok büyük, beklenmedik bir fatura” ile sonuçlanır.

Radware’de siber tehdit istihbaratı araştırma başkanı Daniel Smith, Information Security Media Group’a kripto madenciliği kötü amaçlı yazılımlarıyla ilgili temel endişenin, sistemin performansını önemli ölçüde etkileyebilmesi ve ayrıca sistemleri ek güvenlik risklerine maruz bırakabilmesi olduğunu söyledi.

Araştırmacılar, kripto madenciliği kötü amaçlı yazılımlarının nispeten zararsız bir tehdit gibi görünse de genel bulutun performansını, güvenliğini ve maliyetini önemli ölçüde etkileyebileceğini söylüyor.

“Tehdit aktörleri bir kez virüs bulaştıktan sonra, daha sonra hassas bilgileri çalmak, hassas verilere yetkisiz erişim elde etmek veya fidye yazılımı ve silicileri dağıtmak için kullanılabilen keylogger’lar veya uzaktan erişim araçları gibi diğer kötü amaçlı yazılım türlerini yüklemek için aynı erişimi kullanabilir.” diyor.

Tehdit grubunun, Çinli çete tarafından arka kapı olarak kullanılan bir bot olan Tsunami IRC botunu (namı diğer kaiten) kullanarak cihazlara bulaştığı da bulundu. Tsunami, en eski IoT botnet’lerinden biridir. 2001 yılına kadar uzanır ve komuta ve kontrol için IRC protokolünü kullanır.

Bir IRC botu, bir istemci olarak internet geçiş sohbetine bağlanan bir dizi komut dosyası veya bağımsız bir programdır. Bot, tehdit aktörlerinin sistemleri uzaktan kontrol etmesine ve dağıtılmış hizmet reddi saldırıları başlatmasına olanak tanır.

“Tsunami IRC botu, SYN ve UDP flood’ları dahil olmak üzere dört farklı türde hizmet reddi saldırısını destekler. Tsunami botundan gelen DDoS saldırıları, hizmetleri düşürerek veya meşru kullanıcılar için kullanılamaz hale getirerek hedeflenen web sitelerini veya ağları önemli ölçüde etkileyebilir ve bu da finansal kayıplara yol açabilir. kurban için kayıplar,” Radware araştırmacılarına göre.

Teknik detaylar

Araştırmacılar, saldırı için kaynak IP adresinin, büyük bir bulut sağlayıcısında barındırılan güvenliği ihlal edilmiş bir Apache sunucusu olduğunu söylüyor. Bu IP adresi, ‘/api/login’ ve 8443 numaralı bağlantı noktasını kullanarak Radware’in Redis bal küpüne bir dizi komut dizisi gönderdi.

“Bu komutlar, ‘xms?redis’ adlı bir kabuk betiğini, d.py adlı bir python betiğini, PwnRig adlı bir kripto madencisini ve Redis’in çalıştığı sistemde Tsunami IRC botunu indirmeyi, kurmayı ve çalıştırmayı amaçlayan cron işleriydi.

Bu yükler indirilip yürütüldükten sonra, kabuk komut dosyası, sistemin yapılandırmalarını ve ayarlarını değiştirmek için tasarlanmış bir dizi komut çalıştırır. ‘xms?redis’ komutları iki yeni dizin oluşturur ve herkesin bu dizinlerdeki dosyaları okumasına, yazmasına ve yürütmesine izin verir.

“Komutlar ayrıca SELinux’u devre dışı bırakır, bir kullanıcının aynı anda çalıştırabileceği işlem sayısına bir sınır koyar, güvenlik duvarı yönetim aracı ufw’yi devre dışı bırakır ve ‘/etc/ls.so.preload’ dosyasındaki öznitelikleri hedeflenenden kaldırır. sistemler” diyor araştırmacılar.

Komutlar ayrıca güvenlik araçlarını birkaç bulut sağlayıcısından kaldırmak için bir işlev yürüttü ve giden iletişimlerin “hedeflenen cihazlardaki güvenlik bileşenleri tarafından engellenip engellenmediğini ve şüpheli etkinlik içerebilecek günlük dosyalarını sildiğini” kontrol ediyor.

8220 Çetesi, yeni potansiyel hedefleri, kaba kuvvet ssh hizmetlerini keşfetmek ve ssh anahtarlarını toplamak için çoklu tarama işlevleri kullanır; bu, üç bileşen kullanılarak gerçekleştirilir: “‘masscan’ ve ‘spirit’ adlı iki yürütülebilir ELF ikili dosyası Özelleştirilmiş bir kimlik bilgisi sözlüğü içeren ‘px1’.”

Açık kaynaklı ağ bulma ve tarama aracı ‘masscan’, özel IP adresini tarar ve ‘sshloading32’ işlevi, tcp/22 bağlantı noktasının açığa çıktığı yeni hedefleri bulmaya çalışır.

“Bulut ortamlarına ve güvenli olmayan uygulamalara yönelik tehdit, dünyanın dört bir yanındaki kuruluşlar, özellikle de zayıf kimlik bilgileri kullanan veya güvenlik açıklarını hemen yamamayan kuruluşlar için risk oluşturmaya devam ediyor. Yetersiz güvenlik hijyeni nedeniyle, 8220 Çetesi gibi düşük vasıflı gruplar neden olabiliyor hedeflenen sistemler üzerinde önemli bir etki” diyor Smith.

Radware araştırmacıları, kuruluşların bulut ortamlarını ve uygulamalarını kripto madenciliği kampanyalarından korumak için güvenlik kontrolleri, izleme ve olaya müdahale yeteneklerini içeren kapsamlı bir güvenlik stratejisi benimsemelerini öneriyor.

Ek olarak, kuruluşlara, yeni güvenlik tehditlerini algılamak ve bunlara yanıt vermek için güvenlik kontrollerinin hibrit ve çoklu bulut ortamlarında görünürlük sağladığından emin olmaları önerilir.