Linux sistemlerini ve cihazlarını etkileyen ve onları tehdit aktörleri tarafından uzaktan kontrol edilebilecek zombilere dönüştüren XorDDoS Trojan’ı kullanan yeni bir kampanya keşfedildi.
Üstelik ele geçirilen bu sistemler daha sonra DDoS (Dağıtılmış Hizmet Reddi) saldırıları için de kullanılabilir.
Mevcut kampanyayı 2022’de yürütülen kampanyayla karşılaştırıldığında tek bir değişiklik bulundu, o da C2 ana bilgisayarlarının konfigürasyonuydu.
Ancak saldıran alanlar hâlâ değişmedi. Tehdit aktörleri saldırı altyapılarını meşru kamu barındırma hizmetlerinde çalışan ana bilgisayarlara taşımış gibi görünüyor.
Ek olarak, 2022 kampanyasıyla ilgili olarak birçok güvenlik sağlayıcısı zaten C2 alanlarını kötü amaçlı olarak sınıflandırıp yasakladı ancak mevcut aktif kötü amaçlı yazılım trafiği hâlâ yeni IP’lere yönlendiriliyor.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
İlk erişim vektörünün bir parçası olarak, tehdit aktörleri, sunucudaki rastgele dosyalara erişime olanak tanıyan dizin geçiş saldırılarına karşı savunmasız olan HTTP hizmetine sahip ana bilgisayarları taradı.
Tehdit aktörleri, şifreleri okumak için özellikle /etc/passwd dosyasını hedef aldı. Ancak dosyada yalnızca şifrelenmiş parolalar bulunduğundan, ilk erişimi SSH kaba kuvvet saldırıları yoluyla elde etmek zorunda kaldılar. Erişim sağladıktan sonra uzak sunuculardan kötü amaçlı yazılım indirdiler ve sistemin sahibi oldular.
XorDDoS Linux Cihazlarına Bulaşıyor
XorDDoS Truva Atı, yürütmeyle ilgili tüm verileri şifrelemek için bir XOR şifreleme anahtarı (BB2FA36AAA9541F0) kullanır ve daha sonra bir şifre çözme işlevi kullanılarak şifresi çözülür. Kötü amaçlı yazılım kurbanın makinesinde etkinleştirildikten sonra /var/run/gcc.pid, işletim sistemi sürümü, kötü amaçlı yazılım sürümü, bellek durumu ve CPU bilgileri gibi temel bilgileri alır.
Kötü amaçlı yazılım ayrıca yürütülebilir dosyanın içine gömülü C2 etki alanlarının şifresini çözmek için decrypt_remotestr() işlevini de kullandı. C2 uç noktaları şunlardır:
- ppp.gggatat456[.]iletişim:53
- ppp.xxxatat456[.]iletişim:53
- s5.ddgata789[.]iletişim:53
- P5.lpjulidny7[.]iletişim:53
Kalıcılık
Kalıcılığın bir yolu olarak, kötü amaçlı yazılım, başlatma sırasında yapılandırılan bir otomatik çalıştırma hizmetinin yanı sıra, her üç dakikada bir çalışacak planlanmış otomatik çalıştırma görevleri oluşturur.
Tespitten kaçınma, sürecin kendisini meşru bir süreç olarak gizleyebilecek bir arka plan hizmetine dönüştürülmesiyle gerçekleştirilir.
C2 Ağ Altyapısı
Tehdit aktörlerinin kaydettirdiği ve kullandığı C2 alan adlarının listesi aşağıdaki gibidir:
| C2 Alan Adları | Ad Sunucusu | C2 Alt Alan Adları | IP Adresleri | Otonom sistem |
| xxxatat456[.]iletişim | isim hizmetleri[.]iletişim | aaa.xxxatat456[.]tarak12.xxxatat456[.]comppp.xxxatat456[.]comwww.ppp.xxxatat456[.]comwww.xxxatat456[.]iletişim | 142.0.138[.]41142.0.138[.]42142.0.138[.]43142.0.138[.]44142.4.106[.]73142.4.106[.]75192.74.236[.]33192.74.236[.]34192.74.236[.]35 | 54600 |
| gggatat456[.]iletişim | isim hizmetleri[.]iletişim | aaa.gggatat456[.]comppp.gggatat456[.]comwww1.gggatat456[.]comwww.ppp.gggatat456[.]iletişim | 142.0.138[.]41142.0.138[.]42142.0.138[.]43142.4.106[.]73142.4.106[.]74142.4.106[.]75142.4.106[.]76192.74.236[.]33192.74.236[.]34192.74.236[.]35192.74.236[.]36 | 54600 |
| lpjulidny7[.]iletişim | etki alanı kontrolü[.]iletişim | p0.lpjulidny7[.]comp2.lpjulidny7[.]comp3.lpjulidny7[.]comp4.lpjulidny7[.]comp5.lpjulidny7[.]iletişim | 34.98.99[.]30 | 396982 |
| dddgata789[.]iletişim | etki alanı kontrolü[.]iletişim | ddd.dddgata789[.]comp5.ddgata789[.]iletişim | Yok | Yok |
Kaynak: Palo Alto Birimi42
Ayrıca, bu yeni kampanya ve truva atı hakkında, kampanya, kod analizi, gizleme teknikleri ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan Unit42 Palo Alto tarafından kapsamlı bir rapor yayınlandı.
Uzlaşma Göstergeleri (IOC’ler)
XorDDoS İkili Dosyaları
- b8c4d68755d09e9ad47e0fa14737b3d2d5ad1246de5ef1b3c794b1339d8fe9f8
- 265a38c6dee58f912ff82a4e7ce3a32b2a3216bffd8c971a7414432c5f66ef11
- 1e823ae1e8d2689f1090b09dc15dc1953fa0d3f703aec682214750b9ef8795f1
- 989a371948b2c50b1d45dac9b3375cbbf832623b30e41d2e04d13d2bcf76e56b
- 20f202d4a42096588c6a498ddb1e92f5b7531cb108fca45498ac7cd9d46b6448
- 9c5fc75a453276dcd479601d13593420fc53c80ad6bd911aaeb57d8da693da43
- ce0268e14b9095e186d5d4fe0b3d7ced0c1cc5bd9c4823b3dfa89853ba83c94f
- aeb29dc28699b899a89c990eab32c7697679f764f9f33de7d2e2dc28ea8300f5
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.