Vulncheck’in yakın tarihli bir soruşturması, yıllardır fark edilmeyen bir kriptominasyon kampanyası açığa çıkardı. Bu operasyonun arkasındaki tehdit oyuncusu, Linuxsys madencisini kullanarak, en az 2021’den beri savunmasız sistemleri hedefliyor ve kötü amaçlı yazılım dağıtmak için tehlikeye atılmış meşru web sitelerine büyük ölçüde dayanan tutarlı bir strateji sürdürüyor.
Bu kampanyanın tespit edilmesini zorlaştıran şey, saldırganın gerçek web sitelerini kötü amaçlı yazılım dağıtım kanalları olarak kullanmasıdır. Şüpheli alanlarda yükleri barındırmak yerine, geçerli SSL sertifikalarına sahip üçüncü taraf sitelerden ödün veriyorlar ve indirme bağlantılarını oraya dikiyorlar. Bu sadece birçok güvenlik filtresini atlamalarına yardımcı olmakla kalmaz, aynı zamanda temel altyapılarını da tutar (indirici sitesi gibi repositorylinux.org) gerçek kötü amaçlı yazılım dosyalarından uzakta.
Bu yıl 1 Temmuz ile 16 Temmuz arasında, Vulncheck analistleri IP adresinden tekrarlanan istismar girişimlerini tespit etti 103.193.177.152 Kanarya Apache 2.4.49 örneğine karşı. Bu girişimler CVE-2021-41773 güvenlik açığına bağlanmıştır. Bu özel kırılganlık yeni olmasa da ve popüler bir hedef olmaya devam etse de, onu sömüren varlık göze çarpıyordu.
Saldırganlar adlı basit bir senaryo kullandı linux.shhem yapılandırma dosyasını hem de Linuxsys ikili, uzlaşmış beş web sitesi listesinden aşağı çeker. Bunlar gibi alanlar içerir prepstarcenter.com– wisecode.itVe dodoma.shopbunların hepsi başka türlü sıradan görünümlü sitelerdir.
Vulncheck’in Çarşamba günü yayınlanmadan önce Hackread.com ile paylaşılan blog yazısına göre, liste rastgele değildi. Bu, bir site kaldırılırsa veya çalışmayı durdurursa saldırgan yedekleme seçenekleri verdi, böylece kötü amaçlı yazılım kesintisiz olarak teslim edilebilir.
Bu sitelerden alınan madenci yapılandırma dosyası hashvault.pro madencilik havuzu olarak ve operasyonla ilişkili cüzdanı tanımlar. Bu cüzdan Ocak 2025’ten bu yana günde ortalama 0.024 XMR’nin ortalaması yaklaşık 8 dolar.
8 $ önemsiz görünse de, operasyon mutlaka yüksek gelirle ilgili değildir. Tutarlılık ve süre, başka bir yerde henüz gözlemlenmemiş başka hedefler veya muhtemelen daha fazla madencilik faaliyetini önermektedir.
Linuxsys’i zamanında izlerken, ilk olarak 2021’de Linux ve Unix dijital adli tıpta saygın bir uzman olan Hal Pomeranz’ın aynı CVE’nin sömürüsünü analiz eden bir blog yazısında ortaya çıktı. O zamandan beri, birkaç siber güvenlik firması tarafından yapılan raporlar aracılığıyla birden fazla güvenlik açıkına bağlı. Bunlar arasında 2023-22527, 2023-34960 ve 2024-36401 gibi son CV’ler bulunmaktadır.
Tüm bu güvenlik açıkları, N-Day güvenlik açığı kullanımı, tehlikeye atılan web altyapısında içerik sahneleme ve kalıcı madencilik operasyonları kullanılarak kullanıldı. N-Day güvenlik açığı, zaten bilinen ve genellikle bir düzeltme olan bir güvenlik hatasıdır. İsim sadece kusurun belirli bir gün boyunca halka açık olduğu anlamına geliyor, ‘n’, sorunun ilk halka açık veya yamalı hale getirilmesinden bu yana kaç gün olduğu.
Operasyonun Linux ile sınırlı olmadığına dair bazı kanıtlar da var. İki pencere yürütülebilir ürünler, nssm.exe Ve winsys.exeaynı tehlikeye atılan ana bilgisayarlarda bulundu. Vulncheck bunları eylemde gözlemlemese de, varlıkları sadece Linux sistemlerinden daha geniş bir kapsam öneriyor.
Bu kampanyayı bu kadar düşük profilli tutan şey, muhtemelen dikkatli bir hedefleme ve hanımotlardan kasıtlı olarak kaçınmanın bir kombinasyonudur. Vulncheck, saldırganın yüksek etkileşim ortamlarını desteklediğini belirtiyor, yani tipik yem sunucuları genellikle bu aktiviteyi tamamen kaçırıyor. Bu temkinli yaklaşım, kampanyanın yıllarca aktif olmasına rağmen çok fazla dikkat çekmemesine yardımcı olmuştur.
Vulncheck, bilinen tüm CV’ler için sömürü girişimlerini tespit eden Suricata ve Snort kuralları yayınladı. Bu arada, uzlaşma göstergeleri, saldırı ile ilgili IP’ler, URL’ler ve dosya karmalarını içerir. Ayrıca, güvenlik ekiplerinin indirici ve ilk yük komut dosyalarıyla ilişkili DNS sorgularını ve HTTP trafiğini tanımlamak için kullanabileceği algılama kuralları da sağladılar.