Yeni Tehdit: Chaos Malware
Siber güvenlik araştırmacıları, kötü yapılandırılmış bulut dağıtımlarını hedef alma yeteneğine sahip yeni bir kötü amaçlı yazılım türü olan Chaos‘u gün yüzüne çıkardılar. Bu durum, botnet’in hedef alma altyapısında önemli bir genişleme anlamına geliyor.
Saldırı Nasıl Çalışıyor?
Chaos, Eylül 2022’de Lumen Black Lotus Labs tarafından belgelendi ve çok platformlu bir kötü amaçlı yazılım olarak tanımlandı. Aşağıdaki işlemleri gerçekleştirme yeteneğine sahiptir:
- Windows ve Linux ortamlarında uzaktan kabuk komutları çalıştırma
- Ek modüller indirme
- SSH anahtarlarını brute-force ile kırarak diğer makinelere yayılma
- Kripto para madenciliği yapma
- HTTP, TLS, TCP, UDP ve WebSocket aracılığıyla dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirme
Bu kötü amaçlı yazılım, Kaiji adında başka bir DDoS malware’inin evrimi olarak değerlendiriliyor ve kötü yapılandırılmış Docker örneklerini hedefliyor. Yine de, operasyonun arkasındaki kişiler hâlâ bilinmiyor; ancak Çince karakterlerin varlığı ve Çin merkezli altyapının kullanımı, tehdit aktörünün Çin kökenli olabileceğini düşündürüyor.
Etkilenen Sistemler
Darktrace, geçen ay yeni varyantı hedef alan kendi honeypot ağında tespit etti. Bu, uzaktan kod yürütmeye olanak sağlayan kasıtlı olarak yanlış yapılandırılmış bir Hadoop örneğiydi. Saldırı, Hadoop dağıtımına yeni bir uygulama oluşturmak için yapılan bir HTTP isteği ile başladı.
- Uygulama, bir Chaos ajanı ikili dosyasını bir saldırgan kontrolündeki sunucudan (“pan.tenire[.]com”) almak için bir dizi kabuk komutu içeriyordu.
- Kullanıcıların dosyayı okumasına, değiştirmesine ve çalıştırmasına izin veren izinler ayarlandı (“chmod 777”).
- Daha sonra dosya çalıştırıldı ve dijital izleri azaltmak için diskten silindi.
Saldırının ilgi çekici bir yönü, domainin daha önce, Çinli siber suç grubu Silver Fox tarafından gerçekleştirilen bir e-posta oltalama kampanyasında kullanılmış olmasıdır.
Çözüm ve Korunma
Chaos’un 64-bit ELF ikilisi, Chaos’un birkaç fonksiyonunu yeniden yapılandırırken temel özellik setini büyük ölçüde koruyor. Bununla birlikte, SSH üzerinden yayılma ve yönlendirici zayıflıklarını istismar eden fonksiyonların kaldırılması önemli bir değişiklik olarak öne çıkıyor. Yeni eklenen SOCKS proxy özelliği, ele geçirilmiş sistemin trafiği taşımasını sağlıyor ve kötü amaçlı faaliyetlerin gerçek kökenini gizlemeye yardımcı oluyor.
Darktrace, botnet’in kripto madenciliği ve DDoS kiralama hizmetlerini ötesine geçerek daha fazla gelir elde etme peşinde olduğunu vurguladı. Chaos’un sürekli evrimi, siber suçluların botnet’lerini genişletme ve sahip oldukları yetenekleri artırma kararlılığını gösteriyor.
Aksiyon: Ne Yapmalısınız?
Sistemlerinizin güvende olmasını sağlamak için aşağıdaki adımları izlemelisiniz:
- Yazılımlarınızı güncel tutun ve tüm güvenlik yamalarını uygulayın.
- Yanlış yapılandırmalarınızı gözden geçirin ve düzeltin.
- Gereksiz portları kapatın.
- Siber güvenlik duvarınızı ve izleme araçlarınızı etkinleştirin.
Bu adımlar, siber tehditlere karşı sistemlerinizi daha korunaklı hale getirecektir. Unutmayın, proaktif olmak her zaman en iyi savunmadır.
