Giriş
Son dönemlerde, GoBruteforcer adlı bir botnet, kripto para ve blok zinciri projelerinin veritabanlarına sızarak, kullanıcı parolalarını brute-force (kaba kuvvet) saldırılarıyla kırma amacıyla operasyonlar düzenlemektedir. Bu tür saldırılar, hem büyük veri kayıplarına hem de kullanıcıların güvenliğine ciddi tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
GoBruteforcer, ilk olarak Mart 2023’te Palo Alto Networks tarafından belgelendi ve Unix benzeri platformlarda çalışan x86, x64 ve ARM mimarilerini hedef alarak bir Internet Relay Chat (IRC) botu ve uzak erişim sağlamak için bir web shell dağıtma yeteneğine sahip olduğu tespit edildi. Saldırganlar, düşük güvenlik önlemleriyle açık olan FTP ve yönetici arayüzlerine odaklanarak, şifrelerin kırılması için belirli bir dizi kullanıcı adı ve şifre kullanıyorlar.
- Yaygın kullanıcı adları arasında: myuser:Abcd@123, appeaser:admin123456
- Kripto para odaklı kullanıcı adları: cryptouser, appcrypto, crypto_app, crypto
- phpMyAdmin hedefli kullanıcı adları: root, wordpress, wpuser
Saldırganlar, FTP brute-force işlemleri için yerleşik bir şifre listesi kullanıyor ve bu süreçte kullanıcı adlarını haftada birkaç kez değiştirerek hedeflerini çeşitlendiriyor.
Etkilenen Sistemler
Saldırılar genellikle XAMPP gibi eski web yığınlarını kullanan, internet üzerinde açılan FTP hizmetleri üzerinden gerçekleştirilmektedir. Bu hizmetler, kullanıcıların sistemlerine kötü amaçlı yazılımlar yüklemesine olanak tanır. Bir kez enfekte olduktan sonra, sistemler aşağıdaki hedefler için kullanılabilir:
- FTP, MySQL, PostgreSQL ve phpMyAdmin için parolaların kırılması.
- Diğer, daha önce ele geçirilmiş sistemlere yük ve hizmet sağlamak.
- IRC tarzında kontrol noktaları barındırmak veya komut ve kontrol (C2) için yedek olarak görev yapmak.
Ayrıca, bazı şifrelenmiş hesaplar aracılığıyla TRON blok zinciri adresleri üzerinden yapılan sorgulamalarla, saldırganların blok zinciri projelerine yönelik özel hedefler oluşturduğu anlaşılmaktadır.
Çözüm ve Korunma
Check Point’in analizi, botnet’in daha sofistike bir versiyonunu tanımladı; bu versiyon, çok daha karmaşık ve gizlenmiş IRC botlarının yanı sıra gelişmiş kalıcılık mekanizmaları ve dinamik kimlik bilgileri listelerini içermektedir.
Güvenliğinizi artırmak için aşağıdaki adımları atmanızı öneriyoruz:
- Sunucularınızı güncel tutun ve yazılım güncellemelerini uygulayın.
- Güçlü ve karmaşık parolalar kullanın, mümkünse çok faktörlü kimlik doğrulama kullanın.
- Uzaktan erişim noktalarınızı kapatın veya sıkı güvenlik önlemleri ile koruyun.
- Yedekleme ve acil durum planları oluşturun.
Saldırı altında olan sistemler için acilen güncelleme yapılması, port kapatma veya alınacak diğer önleyici tedbirler kritik öneme sahiptir. Bu tür proaktif önlemler, potansiyel saldırıları en aza indirecek ve verilerinizi koruyacaktır.
