Kampanya, kripto madenciliğin yanı sıra SSH kimlik bilgilerinin ele geçirilmesini, kötü niyetli SSH bağlantılarının gizlenmesini ve daha fazlasını da içeriyor.
Microsoft araştırmacıları, IoT (Nesnelerin İnterneti) cihazlarını ve kripto madenciliği (kripto para madenciliği olarak da bilinir) için Linux tabanlı sistemleri hedefleyen özel ve açık kaynaklı araçlardan yararlanan yeni bir cryptojacking kampanyası keşfetti.
Saldırganlar, cihaz kaynaklarını çalmak için rootkit’ler ve IRC botları gibi çok çeşitli “araçlar ve bileşenler” dağıtabilen bir arka kapı kullanır. Bu arka kapı, etkilenen cihaz sistemlerini ele geçirmek ve bir kripto madencisi kurmak için OpenSSH’nin yamalı bir sürümünü yükler.
Bu yapıldıktan sonra, saldırganlar kripto madenciliği dışında ağda yanal hareket etme, SSH kimlik bilgilerini ele geçirme ve kötü amaçlı SSH bağlantılarını gizleme gibi bir dizi etkinlik gerçekleştirebilir.
Saldırganların, yanlış yapılandırılmış Linux ana bilgisayarlarını aradıkları SSH kimlik bilgilerini ele geçirmesi gerekir. Bu ana bilgisayarlar, ilk erişimi elde etmek için kaba kuvvete tabidir. Hedef cihazın güvenliği ihlal edildiğinde, ilk adım kabuk geçmişini devre dışı bırakmaktır.
Bir sonraki adım, uzak bir sunucudan truva atı haline getirilmiş bir OpenSSH paketini, “openssh-8.0p1.tgz”, çıkarmaktır. arm4I, arm5I, x86, i568, i686 için arka kapı ikili dosyaları, inst.sh kabuk betiği ve tüm özelliklere sahip kabuk betiği vars.sh içeren bir arşiv gibi “iyi huylu OpenSSH kaynak kodu ve diğer kötü amaçlı dosyalar” içerir. arka kapının çalışması için gereken dosyalar. Yük kurulumundan sonra inst.sh betiği, cihazın mimarisiyle eşleşen bir arka kapı ikili dosyası çalıştırır.
Arka kapı, Shell Komut Dosyası Derleyicisi kullanılarak derlenen bir kabuk komut dosyasıdır. Tehdit aktörlerinin yükleri dağıtmasına ve cihaz bilgilerini çalmak ve göndermek gibi istismar sonrası saldırılar gerçekleştirmesine ve ayrıca kötü niyetli faaliyetlerini gizlemek ve tespit edilmeden kalmak için Apache, nginx, httpd ve sistem günlüklerini temizlemesine olanak tanır.
SSH erişimini korumak için arka kapı, sistemin tüm kullanıcılar için yetkili anahtar yapılandırma dosyalarındaki iki ortak anahtarı değiştirir. Ek olarak, bu arka kapı, kullanıcı oturum açma oturumlarını ve sistem olay verilerini kaydeden wtmp ve utmp günlüklerini temizlemek için logtamper açık kaynak yardımcı programını yükleyebilir.
Bu kampanyada, Microsoft’un Tehdit Intel ekibinin blog gönderisinde belirttiği gibi, saldırganlar kripto madenciliği kurmak için kripto hırsızlığı kullanıyor. Cryptojacking’de, gelir elde etmek için bilgisayar kaynakları yasa dışı bir şekilde boşaltılır. Neredeyse tüm cihazlar, araçlar, hizmetler ve IoT’ler dahil BT altyapısı kripto hırsızlığına karşı savunmasızdır. Madenciyi başlatmadan önce, tüm rakip kripto madenciliği işlemleri elenir.
Ek olarak arka kapı, saldırganın C2 sunucusundan alınan bash komutlarını yürüten ZiggyStarTux adlı Kaiten kötü amaçlı yazılım tabanlı DDoS istemcisinin değiştirilmiş bir sürümünü çalıştırır. C2 iletişimleri, kötü amaçlı trafiği gizlemek için kimliği belirsiz bir Güneydoğu Asya finans kurumunun alt etki alanı aracılığıyla kurulur.
Arka kapı, /proc sanal dosya sistemine erişimi test ederek cihazın bir bal küpü olup olmadığını belirler. Erişemezse, arka kapıdan çıkar. /proc’a erişebiliyorsa işletim sistemi sürümü ve ağ yapılandırması vb. gibi cihaz verilerini çıkarır ve bunları sabit kodlanmış bir adrese (dotsysadminprotonmailcom) veya saldırganın adresine e-posta ile gönderir. Derleyebileceği/indirebileceği/kurabileceği açık kaynaklı rootkit’ler arasında her ikisi de GitHub’da bulunan Reptile ve Diamorphine yer alır.
Microsoft, kullanıcıları güvenli yapılandırmalar sağlayarak, güçlü parolalar kullanarak ve ürün yazılımını düzenli olarak güncelleyerek internete maruz kalan cihazların güvenliğini artırmaya teşvik eder. Uzaktan erişim için bir VPN tercih edilmeli ve kullanıcılar her zaman OpenSSH’nin en son sürümünü kullanmalıdır.
ALAKALI HABERLER
- Sağlık Hizmetinde IoT Güvenliği Neden Önemlidir?
- Binlerce PS4 kullanan yasa dışı kripto madenciliği çiftliği ele geçirildi
- Bulut hizmetlerini hedefleyen CoinStomp kripto madenciliği kötü amaçlı yazılımı
- Milyonlarca IoT cihazını hedefleyen BotenaGo botnet kötü amaçlı yazılımı
- Kötü amaçlı yazılım, Hive OS kripto madenciliği yapan kullanıcıları vurur; cüzdan fonlarını çalıyor