Devam eden bir dizi proxy-jacking saldırısının arkasındaki saldırganlar, kullanılmayan İnternet bant genişliğini paylaşmak için ödeme yapan proxyware hizmetleri aracılığıyla para kazanmak için çevrimiçi olarak açığa çıkan savunmasız SSH sunucularına giriyor.
Saldırganların kripto para madenciliği yapmak için saldırıya uğramış sistemleri kullanmasına izin veren cryptojacking gibi, proxyjacking de güvenliği ihlal edilmiş cihazların kaynaklarını ele geçirmek için düşük çaba gerektiren ve yüksek kazanç sağlayan bir taktiktir.
Bununla birlikte, proxyjacking’in tespit edilmesi daha zordur çünkü yalnızca saldırıya uğramış sistemlerin kullanılmayan bant genişliğine sızar ve bunların genel kararlılığını ve kullanılabilirliğini etkilemez.
Tehdit aktörleri, izini gizlemelerine ve kötü niyetli etkinlikleri gizlemelerine yardımcı olabilecek proxy’ler kurmak için saldırıya uğramış cihazları da kullanabilirken, bu kampanyanın arkasındaki siber suçlular yalnızca ticari proxy yazılım hizmetleri aracılığıyla para kazanmayla ilgileniyorlardı.
Akamai güvenlik araştırmacısı Allen West, “Bu, saldırganın uzaktan erişim için SSH’den yararlandığı, kurban sunucuları Peer2Proxy veya Honeygain gibi bir eşler arası (P2P) proxy ağına gizlice kaydeden kötü amaçlı komut dosyaları çalıştırdığı aktif bir kampanyadır” dedi. .
“Bu, saldırganın şüphelenmeyen bir kurbanın ekstra bant genişliğinden para kazanmasına izin veriyor, kripto madenciliği için gerekli olan kaynak yükünün yalnızca bir kısmı ve daha az keşif şansı ile.”
Bu kampanyayı araştırırken Akamai, soruşturmayı başlatan IP’yi ve çevrimiçi bir forumda paylaşılan en az 16.500 başka proxy’yi içeren bir liste buldu.
Proxy yazılım hizmetleri ve Docker konteynerleri
Akamai, saldırıları ilk olarak 8 Haziran’da, şirketin Güvenlik İstihbarat Müdahale Ekibi (SIRT) tarafından yönetilen bal küplerine birden fazla SSH bağlantısı yapıldıktan sonra fark etti.
Saldırganlar, savunmasız SSH sunucularından birine bağlandıktan sonra, saldırıya uğramış sistemleri Honeygain’in veya Peer2Profit’in proxy ağlarına ekleyen Base64 kodlu bir Bash komut dosyası dağıttı.
Komut dosyası ayrıca Peer2Profit veya Honeygain Docker görüntülerini indirerek ve diğer rakiplerin bant genişliği paylaşım kapsayıcılarını öldürerek bir kap oluşturur.
Akamai ayrıca, kötü amaçlı komut dosyasını depolamak için kullanılan güvenliği ihlal edilmiş sunucuda cryptojacking saldırılarında, açıklardan yararlanmada ve bilgisayar korsanlığı araçlarında kullanılan kripto madencileri buldu. Bu, tehdit aktörlerinin ya tamamen proxyjacking’e yöneldiğini ya da bunu ek bir pasif gelir için kullandığını gösteriyor.
West, “Proxyjacking, siber suçlular için hem kurumsal ekosistemde hem de tüketici ekosisteminde güvenliği ihlal edilmiş cihazlardan para kazanmanın en yeni yolu haline geldi” dedi.
“Cryptojacking’e karşı daha gizli bir alternatif ve Katman 7 saldırılarının zaten hizmet ettiği baş ağrılarını artırabilecek ciddi etkileri var.”
Bu, Cisco Talos ve Ahnlab’ın daha önce bildirdiği gibi, ele geçirdikleri sistemleri Honeygain, Nanowire, Peer2Profit, IPRoyal ve diğerleri gibi proxy yazılım hizmetlerine kaydeden birçok benzer kampanyadan yalnızca biri.
Nisan ayında Sysdig, proxyware botnet’lerine eklenen her 100 cihaz için 1.000 $’a kadar kar elde etmelerini sağlayan, ilk erişim için Log4j güvenlik açığından yararlanan proxy korsanlarını da tespit etti.