Sysrv Botnet, XMRig Miner'ı Yaymak İçin Google Alt Alan Adını Kötüye Kullanıyor


Yeni Sysrv Botnet Varyantı, XMRig Miner'ı Yaymak İçin Google Alt Alan Adından Yararlanıyor

İlk olarak 2020'de tanımlanan Sysrv, cihazlara bulaşmak ve kripto madencilerini dağıtmak için Golang solucanını kullanan, ağdaki güvenlik açıklarından yararlanarak yayılan ve operatörleri tarafından sürekli olarak yeni tekniklerle güncellenen bir botnet'tir.

Araştırmacılar bu gelişmeleri belgeledi ve enfeksiyon zinciri, yeni yöntemler ve Tehlike Göstergeleri (IoC'ler) dahil olmak üzere en son varyantı araştırdı.

Enfeksiyon zincirini temsil eden akış şeması

Imperva Tehdit Araştırması, Mart ayının başında, proxy'lere ulaşan engellenen HTTP isteklerine dayanarak, bot trafiğinin özelliklerini sergileyen ve birden fazla ülkede çok sayıda web sitesini hedefleyen bir botnet tespit etti.

Örnek yararlanma girişimi (CVE-2021-26084)

İstekler benzer tanımlayıcıları paylaşıyordu ve Apache Struts (CVE-2017-9805) ve Atlassian Confluence'daki (CVE-2023-22527 ve CVE-2021-26084) bilinen güvenlik açıklarından yararlanmayı amaçlıyordu.

Belge

Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması

Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :

  • Günümüzün kırılganlık yorgunluğu sorunu
  • CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
  • Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
  • Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon

Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:


Analiz edilen damlalık komut dosyası “ldr.sh”, güvenliği ihlal edilmiş site URL'si (“cc”) için değişkenler ve tarihin MD5 karma değerini temel alan rastgele bir dize (“sys”) tanımlayarak geçmiş Sysrv botnet yinelemelerine benzer.

Bir “get” işlevi, sağlanan URL'lerden dosyaları indirir ve daha sonra, ikinci aşama kötü amaçlı yazılımı tehlikeye atılan siteden indirip çalıştırmak için kullanılır.

Betik, indirmeden önce, işlemleri sonlandırarak ve hem geçmiş cryptominer enfeksiyonlarıyla hem de mevcut kötü amaçlı yazılımdan koruma çözümleriyle bağlantılı programları kaldırarak uç nokta güvenliğini agresif bir şekilde bozar, ardından SSH ana bilgisayarlarını ve anahtarlarını arar ve betiği SSH yoluyla yanal olarak yaymaya çalışır.

Önceki sürümlerden önemli bir fark, çeşitli CPU mimarilerini yaklaşan kripto madenciliği etkinliğine hazırlamak için özel olarak tasarlanmış ek işlevlerin varlığıdır.

Sysrv botnet dropper ikili programının en son çeşidi, önemli iyileştirmeler gösteriyor ve önceki sürümlere benzer şekilde, UPX ile paketlenmiş, statik olarak bağlantılı, çıkarılmış bir Golang ikili programı olmaya devam ediyor.

Ancak yeni ikili sistem, bir ELF dosyasının birden fazla kopyasını sistem geneline bırakır ve virüs bulaşmış ana bilgisayarda muhtemelen kalıcılık için bir dinleyici başlatır ve bunların davranışları, önceki kampanyalara kıyasla botnet'in kalıcılık mekanizmalarında iyileştirmeler olduğunu gösterir.

Imperva kötü amaçlı yazılım araştırmacıları, Golang ikili dosyasında analiz için GoReSym veya Redress'in kullanılmasını engelleyen bir karışıklık gözlemledi.

Dinamik analiz, kötü amaçlı yazılımın, meşru bir hata sayfası görünümüne bürünmüş bir Google alt alanından (sites.google.com) ikinci aşama bir ikili dosya indirdiğini ortaya çıkardı.

Kodu çözülmüş ve paketi açılmış ikili dosya, 483F2xjkCUegxPM7wAexam1Be67EqDRZpS7azk8hcGETSustmuxd1Agffa3XSHFyzeFprLy cüzdanı için MoneroOcean madencilik havuzuna (gulf.moneroocean.stream:10128, 109.123.233.251:443) bağlanan bir XMRig madencisidir. HKm37bTPShFUTKgctMSBVuuK. Cüzdanın 6 çalışanı var ve yılda yaklaşık 57 XMR (yaklaşık 6800 USD) üretiyor.

Sysrv botnet aktörleri, XMRig cryptominer'ı virüslü cihazlara indirip çalıştıran kötü amaçlı komut dosyalarını (ldr.sh, cron) barındırmak için güvenliği ihlal edilmiş meşru etki alanlarını kullanıyor.

Komut dosyaları, saldırganlar için XMR kripto para birimi madenciliği yapmak amacıyla madencilik havuzlarına (gulf.moneroocean.stream, 109.123.233.251) bağlanıyor.

URL'ler, dosya karmaları (ldr.sh: 6fb9b4dced1cf53a gibi) ve cüzdan adresi (483F2xjkCUegxPM7wAexam1Be67EqDRZpS7azk8hcGETSustmuxd1Agffa3XSHFyzeFprL yHKm37bTPShFUTKgctMSBVuu) gibi birçok güvenlik ihlali işareti (IOC) bulundu K) savunucuların bu kötü niyetli kampanyayı bulmasına ve durdurmasına yardımcı olabilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link