Yeni Kripto Para Tehditleri ve Güvenlik Açıkları
Son dönemde kripto para dünyasında önemli bir artış gözlemleniyor. Ancak bu artış, beraberinde ciddi güvenlik tehditlerini de getiriyor. Siber güvenlik uzmanları, Apache HTTP Sunucusu’ndaki bilinen bir güvenlik açığını istismar eden yeni bir kampanya tespit etti. Bu kampanya, Linuxsys isimli bir kripto para madencisi yazılımını dağıtmak için kullanılıyor. Güvenlik açığı CVE-2021-41773 (CVSS puanı: 7.5) olarak adlandırılan yüksek öneme sahip bir yol geçişi açığıdır. Bu açığın, Apache HTTP Sunucusu’nun 2.4.49 sürümünde oluştuğu ve uzaktan kod çalıştırma olasılığı sunduğu biliniyor.
VulnCheck, bu saldırının yetkilendirilmiş web sitelerini kullanarak zararlı yazılımları gizlice dağıttığını belirtiyor. Bu durum, tespit edilme olasılığını azaltıyor. Saldırının ilk izlerinin Endonezya’dan gelen bir IP adresi üzerinden kaydedildiği ifade ediliyor. Zararlı yazılım dağıtımı, “repositorylinux[.]org” adresinden curl veya wget kullanılarak yapılıyor. Bu süreç, kripto para madencisi olan Linuxsys’i indiren bir kabuk scripti ile sonuçlanıyor. Saldırganların, üçüncü taraf altyapılarını tehlikeye atarak zararlı yazılımın dağıtımını sağladığı anlaşılıyor.
VulnCheck, “Mağdurların geçerli SSL sertifikalarına sahip meşru hostlarla bağlantı kurması, tespiti zorlaştırıyor,” açıklamasında bulundu. Ayrıca, bağlantı sağlanan site ile zararlı yazılımın barındırıldığı yer arasında bir ayrım olduğu dikkat çekiyor. Ele geçirilen web siteleri, sistemin yeniden başlatılması durumunda madencinin otomatik olarak başlatılmasını sağlayan “cron.sh” adında bir başka kabuk scripti daha barındırıyor.
Cybersecurity ve Kripto Para Saldırıları
Bu tür saldırıların geçmişe dayalı örnekleri de ortaya çıkıyor. Örneğin, Linuxsys madencisinin, OSGeo GeoServer GeoTools‘taki kritik bir güvenlik açığını istismar ettiği iddia ediliyor. Bu açığın CVE kimliği CVE-2024-36401 olup, CVSS puanı 9.8’dir. Saldırganların kullandığı kabuk scriptinin kaynak kodunda Endonezce yorumların yer aldığı görülmesi, saldırının kökeninin birçok siber tehlike ile ilişkili olabileceğini gösteriyor. Saldırının kullanıldığı başka zafiyetler arasında CVE-2023-22527, CVE-2023-34960 ve CVE-2023-38646 gibi pek çok güvenlik açığı yer alıyor.
Siber güvenlik ajansları, bu saldırıların uzun vadeli bir kampanyanın parçası olduğunu ve aynı tekniklerin sürekli kullanıldığını vurguluyor. Bu durum, saldırganların hedeflere yönelik titiz bir seçki ile faaliyet gösterdiğini kanıtlıyor. Düşük etkileşimli honeypot’lardan kaçınmaları ve yüksek etkileşimli gözlemler gerektirmeleri, işi daha karmaşık hale getiriyor.
GhostContainer Arka Kapısı ve Hedefler
Kaspersky, özellikle hükümet organlarına yönelen yeni bir siber saldırı dalgası hakkında bilgi paylaşmış durumda. Bu saldırılar, Microsoft Exchange Sunucusu’ndaki N-gün güvenlik açıklıklarını kullanarak GhostContainer adında özelleştirilmiş bir arka kapı kurmak için tasarlanmış. Saldırıların, CVE-2020-0688 kodlu ve düzeltme getirilmiş olan uzaktan kod çalıştırma hatasını istismar ettiği düşünülüyor.
GhostContainer, “dinamik olarak uzatılabilir” özellikte bir arka kapıdır ve ek modüllerin indirilmesi yoluyla yeni işlevsellik kazandığı biliniyor. Siber saldırganlar, bu arka kapı sayesinde Exchange sunucusunda tam kontrol elde edebilmekte ve çeşitli kötü niyetli aktiviteleri gerçekleştirebilmektedir. Malware, komutları işleyebilir, dosyaları indirebilir, okuyabilir veya silebilir ve ayrıca .NET byte code yükleme yeteneğine sahiptir.
Siber güvenlik uzmanları, bu saldırının yüksek değerli organizasyonları hedef alan bir gelişmiş kalıcı tehdit (APT) kampanyasının parçası olabileceğini düşünüyor. Saldırganların derin Microsoft Exchange Sunucusu bilgisine sahip oldukları ve açık kaynak kodlarını gelişmiş casusluk araçlarına dönüştürebildikleri belirtiliyor. Kaspersky, “GhostContainer arka kapısı, herhangi bir komut ve kontrol altyapısına bağlantı kurmuyor,” diye açıklıyor. Bunun yerine, saldırganlar, hedef sunucunun dışından bağlantı kurmakta ve kontrol komutları normal Exchange web talepleri içinde gizlenmektedir.
Bu tür gelişmeler, siber güvenlik alanında sürekli bir risk ve tehdit oluşturmakta. Sonuç olarak, hem bireysel hem de kurumsal düzeyde daha güçlü güvenlik önlemlerinin alınması gerekliliği bir kez daha gün yüzüne çıkmaktadır.
