Koske: Yeni Bir Linux Tehdidi
Son dönemde dikkat çeken Koske, yapay zeka destekli bir Linux zararlısı olarak tanımlanıyor. Bu zararlı yazılım, masum görünüşlü panda resimleri kullanarak sistem belleğine doğrudan zararlı yazılım yüklemeyi başarıyor. Siber güvenlik şirketi AquaSec’in yaptığı analize göre, Koske, özellikle kripto para madenciliği için tasarlanmış bir malware olarak öne çıkıyor.
Koske’nin Özellikleri
AquaSec’in yaptığı araştırmalarına göre Koske, gelişmiş bir Linux tehdidi. Araştırmacılar, duydukları adaptif davranışlar göz önünde bulundurulduğunda, bu zararlının büyük dil modelleri (LLM) veya otomasyon platformları kullanılarak geliştirildiğini düşünüyor. Koske’nin amacı, CPU ve GPU odaklı kripto para madencileri dağıtarak, hedef sistemin hesaplama kaynaklarını kullanarak madencilik yapmaktır.
Panda Resimleriyle Saldırı
Koske’nin ilk erişimi, çevrimiçi olarak açıkta bulunan JupyterLab örneklerindeki yanlış yapılandırmaları kullanarak sağlanıyor. Saldırgan, bu erişimi elde ettikten sonra, OVH, freeimage ve postimage gibi meşru hizmetler üzerinden panda resmi dosyalarını indiriyor. Ancak, bu resimler kötü amaçlı yükler barındırıyor.
AquaSec, zararlı yazılımın resimlerin içinde gizlenmediğini, bunun yerine poliglot dosyalar kullanarak birden fazla formatta geçerli olduğunu vurguluyor. Koske saldırılarında, aynı dosya hem bir resim hem de bir betik olarak yorumlanabiliyor; hangi uygulamanın açtığına bağlı olarak değişiyor.
Bahsedilen Yükleme Süreci
Panda resimleri, JPEG formatının geçerli resim başlıklarıyla başlarken, dosyanın sonuna eklenmiş kötü amaçlı shell betikleri ve C kodları içeriyor. Kullanıcı bu resimleri açtığında sevimli bir panda görecek, ancak bir betik yorumlayıcısı dosyanın sonundaki shell kodunu çalıştıracaktır.
AquaSec’in tespit ettiği saldırılarda, her bir resimde gizli bir payload bulunuyor ve her ikisi de paralel olarak başlatılıyor. Bir payload, doğrudan belleğe yazılan C kodu olup, bir kök seti (rootkit) işlevi görüyor. Diğer payload ise, sistem araçlarını kullanılan bir shell betiği olarak çalıştırılıyor.
Saldırıların Detayları
Bu shell betiği, yerel Linux araçlarını kullanarak doğrudan bellekte yürütülüyor, 30 dakikada bir çalışan cron işleri aracılığıyla kalıcılık sağlıyor ve özelleştirilmiş systemd hizmetleri oluşturuyor. Ayrıca, ağ sertleştirmesi ve proxy atlatma yaparak /etc/resolv.conf dosyasını Cloudflare ve Google DNS ile değiştiriyor.
Bu tür bir adaptasyon ve davranış, AquaSec araştırmacılarını, zararlının ya bir LLM ya da otomasyon platformu yardımıyla geliştirilmiş olabileceğine ikna ediyor. C tabanlı rootkit, bellekte derleniyor ve LD_PRELOAD kullanarak readdir() fonksiyonunu geçersiz kılıp, kötü amaçlı süreçleri kullanıcı alanı izleme araçlarından gizliyor.
Kripto Madenciliği Yayılımı
Ağ erişimi ve kalıcılık sağlandığında, shell betiği GitHub’dan kriptomadencileri indiriyor. Sunucunun CPU ve GPU’su değerlendirilerek hangi madencinin daha verimli olacağı belirleniyor. Koske, Monero, Ravencoin, Zano, Nexa ve Tari gibi izlenmesi zor olan kripto paralar dahil toplamda 18 farklı para birimi için madenciliği destekliyor.
Eğer bir para birimi veya madencilik havuzu kullanılamaz hale gelirse, zararlı yazılım otomatik olarak kendi iç listesinden bir yedek madenciliğe geçiyor. Bu durum, yüksek bir otomasyon ve uyumluluk derecesini gösteriyor.
Gelecek Tehditleri
AquaSec, Koske gibi yapay zeka destekli zararlı yazılımların mevcut durumunun endişe verici olduğunu vurguluyor. Gelecekte bu tür tehditlerin, gerçek zamanlı adaptasyon kullanarak daha da tehlikeli bir hale geleceği konusunda uyarıyor. Bu durum, siber güvenlik alanında yeni önlemler ve yaklaşımlar geliştirilmesini zorunlu kılıyor.
Koske örneği, zararlı yazılımların evriminin yalnızca teknik yetenekle sınırlı olmadığını, aynı zamanda kullanıcılar üzerindeki etkisinin de sorgulanabilir olduğunu gösteriyor. Siber güvenlik uzmanlarının bu yeni tehditlere karşı daha dikkatli olmaları gerekiyor.
