Daha önce çeşitli tehdit aktörleri tarafından konuşlandırılan en az 4.000 benzersiz web arka kapısı, alan adı başına 20 ABD doları gibi düşük bir ücret karşılığında, terk edilmiş ve süresi dolmuş altyapının kontrolü ele geçirilerek ele geçirildi.
Siber güvenlik şirketi watchTowr Labs, arka kapıların komuta ve kontrol (C2) için kullanılmak üzere tasarlandığı 40’tan fazla alan adını kaydederek operasyonu tamamladığını söyledi. Shadowserver Vakfı ile ortaklaşa yürütülen araştırmada yer alan alanlar kapatılmıştır.
watchTowr Labs CEO’su Benjamin Harris ve araştırmacı Aliz Hammond, “Arka kapıların içinde var olan arka kapıları (şu anda terk edilmiş altyapıya ve/veya süresi dolmuş alanlara bağlı olan) ele geçiriyoruz ve o zamandan beri sonuçların akınını izliyoruz.” söz konusu Geçen hafta teknik bir yazıda.
“Bu ele geçirme, güvenliği ihlal edilmiş ana bilgisayarları ‘rapor verdiklerinde’ takip etmemize olanak sağladı ve teorik olarak bize, güvenliği ihlal edilmiş bu ana bilgisayarlara el koyma ve kontrol etme gücü verdi.”
İşaretleme faaliyeti yoluyla belirlenen tehlikeye atılmış hedefler arasında Bangladeş, Çin ve Nijerya’daki devlet kurumları; ve diğerlerinin yanı sıra Çin, Güney Kore ve Tayland’daki akademik kurumlar.
Takip eden istismarlar için hedef ağlara kalıcı uzaktan erişim sunmak üzere tasarlanmış web kabuklarından başka bir şey olmayan arka kapılar, kapsam ve işlevsellik açısından farklılık gösterir.
- Saldırganın sağladığı bir komutu PHP kodu aracılığıyla çalıştırabilen basit web kabukları
- c99kabuk
- r57kabuk
- Çin Bağlantı Noktası gelişmiş kalıcı tehdit (APT) grupları tarafından belirgin bir şekilde paylaşılan bir web kabuğu olan China Chopper
Hem c99shell hem de r57shell, isteğe bağlı kod veya komutları yürütme, dosya işlemlerini gerçekleştirme, ek yükleri dağıtma, FTP sunucularına kaba kuvvet uygulama ve kendilerini tehlikeye atılmış ana bilgisayarlardan kaldırma özelliklerine sahip tam özellikli web kabuklarıdır.
WatchTowr Labs, bazı web kabuklarının, komut dosyası bakımcıları tarafından konuşlandırıldıkları konumları sızdırmak için arka kapıya kapatıldığı ve dolayısıyla dizginlerin yanlışlıkla diğer tehdit aktörlerine devredildiği örnekleri gözlemlediğini söyledi.
Bu gelişme, şirketin eski bir WHOIS sunucu alan adını (“whois.dotmobiregistry) satın almak için yalnızca 20 dolar harcadığını açıklamasından birkaç ay sonra gerçekleşti.[.]net”), .mobi üst düzey alan adı (TLD) ile ilişkilidir ve “whois.nic”e geçtikten sonra bile sunucuyla iletişim kurmaya devam eden 135.000’den fazla benzersiz sistemi tanımlar.[.]mobi.”
Bunlar, VirusTotal gibi çeşitli özel şirketlerin yanı sıra sayısız hükümet, askeri ve üniversite kuruluşunun posta sunucularından oluşuyordu. .gov adresleri Arjantin, Bangladeş, Butan, Etiyopya, Hindistan, Endonezya, İsrail, Pakistan, Filipinler, Ukrayna ve ABD’ye aitti.
watchTowr Labs, “Saldırganların savunmacılarla aynı hataları yaptığını görmek biraz cesaret verici” dedi. “Saldırganların asla hata yapmadığı zihniyetine kapılmak kolaydır, ancak bunun tersini gösteren kanıtlar gördük: açık web kabukları içeren kutular, süresi dolmuş alan adları ve arka kapısı olan yazılımların kullanımı.”
