JadePuffer Ransomware: Yapay Zeka Destekli Bir Tehdit
JadePuffer, ilk kez bir büyük dil modeli (LLM) ajansı tarafından tamamen yürütülen bir fidye yazılımı operasyonu olarak tanımlandı. Bu olay, siber güvenlik alanında yeni bir çağın başlangıcını simgeliyor.
Saldırı Nasıl Çalışıyor?
JadePuffer, hedefe başlangıç erişimini sağlamak için CVE-2025-3248 kodlu, kimlik doğrulaması gerektirmeyen uzak kod yürütme açığını kullandı. Bu açık, popüler açık kaynaklı bir framework olan Langflow’da bulunuyordu. Sistem sağlayıcısı, bu açığı 1 Nisan 2025‘te düzeltti ve CISA, Mayıs 2025’te bu açığın saldırılarda istismar edildiğini bildirdi.
Açığı kullanarak kod yürütme sağlamanın ardından, yapay zeka ajansı şu adımları izledi:
- Langflow’un PostgreSQL veritabanını dökme.
- Host bilgilerini toplama.
- Çevresel değişkenler ve hassas dosyaları arama.
- Kredileri geri alma.
- MinIO nesne deposunu listeleme.
Sysdig, ajanın, MinIO’yu listeleme sürecinde bir API isteğinin XML yerine JSON döndürmesi durumunda, sonraki yükü ayarladığını vurguluyor.
JadePuffer, Langflow ana bilgisayarında kalıcılığı sağlamak için bir cron görevi oluşturarak her 30 dakikada bir saldırganın altyapısına sinyal gönderdi.
Langflow örneğinden yola çıkarak, saldırgan bir üretim MySQL sunucusuna (Alibaba Nacos) geçiş yaptı. Bu geçiş, kök kimlik bilgileriyle gerçekleştirildi.
Etkilenen Sistemler
Nacos, fidye yazılımının hedeflerinden biri oldu ve CVE-2021-29441 kodlu, kimlik doğrulama atlatma açığı kullanılarak sahte yönetici hesapları oluşturuldu. Ajan, konteyner kaçış yöntemlerini denedi ve fidye yazılımı yükünü dağıttı.
Araştırmalara göre, JadePuffer toplamda 1,342 Nacos hizmet yapılandırma öğesini şifreleyerek orijinal verileri sildi. Sysdig, ajanın şifreleme işlevinin, tüm yapılandırma öğelerini AES-256 algoritması ile şifrelediği bilgisinin yanıltıcı olabileceğini, daha zayıf bir yöntem olan AES-128-ECB‘nin muhtemel olduğunu belirtiyor.
Çözüm ve Korunma
Sysdig, JadePuffer’ın yaşanan durumu, “ajansik tehdit aktörlerinin” çağının geldiğini gösteriyor. Bunu göz önünde bulundurarak, şu adımları takip etmelisiniz:
- Yazılımlarınızı sürekli güncel tutun ve CVE-2025-3248 ve CVE-2021-29441 gibi açıkları kapatın.
- Ağ altyapınızı sıkı bir şekilde koruyun; internetten erişilebilen uç noktaları sertleştirin.
- Fidye yazılımı ve diğer siber saldırılara karşı eğitim verin ve farkındalık yaratın.
Ayrıca, güvenlik çözümlerinin LLM tarafından üretilen yükleri tespit etme fırsatlarını değerlendirin.
Sonuç
Bu yeni tür fidye yazılımı saldırılarının önüne geçmek için, sistemlerinizi güncel tutmalı ve kimlik bilgilerinizi korumayı öncelikli hale getirmelisiniz. Erişim noktalarınızı güçlendirerek, yetkisiz girişleri engelleyebilir ve güvenlik açıklarınızı kapatabilirsiniz.


