Acil: PCPJack 230 AWS ve Google Cloud Sunucusunu Ele Geçirdi!

Bulunan Tehdit: PCPJack

PCPJack olarak bilinen tehdit aktörü, Amazon Web Services (AWS), Google Cloud ve Microsoft Azure ile ilişkili bulut sunucularını ele geçirerek gizli bir SMTP e-posta relay ağı oluşturmuştur. Bu durum, siber güvenlik alanında önemli riskler barındırmakta ve kullanıcıları tehlike altına sokmaktadır.

Saldırı Nasıl Çalışıyor?

Hunt.io’nun açıklamasına göre, ABD, Avrupa ve Asya’daki ele geçirilmiş iş sunucuları sessizce SMTP proxy’lerine dönüştürülmüş ve her beş dakikada bir senkronize edilmiştir. İlgili tehdit aktörünün, “213.136.80[.]73” adresli bir komut ve kontrol (C2) sunucusunda kimlik doğrulama olmaksızın açık iki dizin bıraktığı bildirilmiştir. Bu dizinlerde, açık kaynak kodu, derlenmiş ikili dosyalar, dağıtım durumu günlükleri ve internet tarayıcıları yer almaktadır.

Etkilenen Sistemler

Etkilenen sistemler arasında, aşağıdakilere sahip olan Linux sunucular bulunmaktadır:

• AMD64, ARM64 ve x86 CPU mimarileri için Chisel tünelleme ve proxy ikilileri
• E-postaları iletebilen sistemler için özel SMTP kalitesi kontrolü
• İçerik dinleme ve komut alma işlevselliği ile tasarlanmış beacon’lar

Hunt.io, her beacon’ın deterministik olarak bir MD5 hash’i kullanılarak oluşturulmuş bir SOCKS5 proxy portu aldığını ve bu yapının e-posta relay işleminin amacını belirlediğini vurgulamıştır. Eğer bir sunucu e-posta sağlayamıyorsa, işleme dahil edilmemektedir.

Çözüm ve Korunma

Kullanıcıların, aşağıdaki adımları izlemeleri kritik önem taşımaktadır:

• Sistem Güncellemeleri: Tüm bulut hizmet sağlayıcıları için en son güncellemeleri kontrol edin ve uygulayın.
• Port Kapatma: Gerekmedikçe SMTP (port 587) erişimini devre dışı bırakın.
• Güvenlik Duvarı Ayarları: İzin verilen IP adresleri listesini güncelleyin ve yetkisiz erişimlere karşı koruma sağlayın.
• İzleme ve Log Yönetimi: Sunucular üzerindeki tüm aktiviteleri düzenli olarak izleyin ve log dosyalarını kontrol edin.

Sonuç olarak, PCPJack’ın oluşturduğu bu tehdit ağı, kullanıcıların bulut hizmetlerini kullanırken daha fazla dikkatli olmalarını gerektirmektedir. Görülen açıklar ve zayıf noktalar ışığında, alınacak güvenlik önlemleri ile bulut sistemlerinin korunması sağlanmalıdır.