Güvenlik Açıkları ve Redis Sunucuları
Günümüzde siber güvenlik uzmanları, Redis sunucularını hedef alan çok sayıda kampanyaya dikkat çekiyor. Bu kampanyalar, bilinen güvenlik açıklarını kötüye kullanarak çeşitli kötü amaçlı aktiviteler yürütmekte; örneğin, bu kompromize cihazları IoT botnetleri, konut proxy’leri veya kripto para madenciliği altyapısı olarak kullanıyor.
İlk saldırı seti, CVE-2024-36401 adlı uzaktan kod yürütme açığını istismar ediyor. Bu açığın CVSS skoru 9.8 olarak belirlenmiştir ve OSGeo GeoServer GeoTools üzerinde önemli bir etkiye sahip olup, geçen yılın sonlarından itibaren siber saldırılarda silah olarak kullanılmıştır. Palo Alto Networks’ten Zhibin Zhang, Yiheng An, Chao Lei ve Haozhe Zhang’ın teknik raporuna göre, suçlular bu açığı kullanarak, yasal yazılım geliştirme kitleri (SDK’ler) veya değiştirilen uygulamalar ile pasif gelir elde etmek için ağ paylaşımı veya konut proxy’leri oluşturuyorlar.
Bu gelir elde etme yöntemi, oldukça gizli bir şekilde gerçekleştiriliyor. Bazı yasal uygulama geliştiricilerinin geleneksel reklamlar yerine tercih ettiği SDK’leri kullanarak, kullanıcı deneyimini korumayı ve uygulama tutumunu artırmayı hedefliyorlar. Unit 42 tarafından yapılan araştırmalar, saldırganların, internet erişimi olan GeoServer örneklerini Mart 2025’ten bu yana probe ettiklerini ortaya koyuyor. Bu altyapı üzerinde, adversary-controlled sunuculardan özelleştirilmiş çalıştırılabilir dosyaları düşürmekte.
Monetizasyon Stratejileri
Kampanyada kullanılan uygulamalar, minimal kaynak tüketerek gizli kalmayı hedefliyor. Bu uygulamalar, kurbanların internet bant genişliğini gizlice kullanarak, özelleştirilmiş zararlı yazılım dağıtmadan, pasif gelir elde ediyor. Dart dilinde yazılmış olan bu ikili dosyalar, yasal pasif gelir hizmetleriyle etkileşim kurmak amacıyla tasarlanmış ve cihaz kaynaklarını bant genişliği paylaşımı gibi aktivitelerde kullanıyor.
Bu yaklaşım, tüm taraflar için bir kazan-kazan durumu oluşturuyor. Uygulamaların geliştiricileri, bu özelliği entegre ettikleri için ödeme alırken, siber suçlular kullanılmayan bant genişliğinden kâr elde ediyor. Unit 42, çalıştırıldığında, çalıştırılabilir dosyanın gizlice arka planda çalışarak, cihaz kaynaklarını izlediğini ve mümkün olduğunda kurbanın bant genişliğini yasadışı bir şekilde paylaştığını belirtti. Bu şekilde, saldırganın pasif gelir elde etmesini sağlıyor.
Toplanan telemetri verileri, 99 ülkede 7,100’den fazla açık GeoServer örneği olduğunu gösteriyor. Bu örneklerin en yoğun olduğu ülkeler arasında Çin, ABD, Almanya, Büyük Britanya ve Singapur öne çıkıyor. Unit 42, bu devam eden kampanyanın, saldırganların ödünç alınmış sistemleri monetizasyon yöntemlerinin evrimine tanıklık ettiğini söyledi. Saldırganların temel stratejisi, saldırgan bir şekilde kaynakların sömürülmesi yerine gizli ve sürekli gelir elde etmeye odaklanmış durumda.
PolarEdge Botneti
Bu açıklamalar, Censys’in büyük ölçekli bir IoT botneti olarak bilinen PolarEdge‘in altyapısını detaylandırmasıyla da örtüşüyor. PolarEdge, bilinen güvenlik açıklarını kullanarak, endüstriyel düzeyde hızlandırıcılar ve tüketici odaklı cihazlar gibi çeşitli ürünleri içermekte. Bu botnetin kesin amacı henüz bilinmiyor, ancak indiscriminat kütüphaneleri taramak için kullanılmadığı açık.
İlk erişim, özel bir TLS kapı arka kapısını bırakmak için sömürülüyor. Bu kapı, şifreli komut ve kontrol, log temizleme ve dinamik altyapı güncellemelerini mümkün kılıyor. PolarEdge, operasyonel bir geçiş kutusu (ORB) ağına benzer özellikler sergiliyor ve son bulgulara göre, bu kampanya 2023 yılının Haziran ayına kadar uzanıyor ve bu ay itibarıyla yaklaşık 40,000 aktif cihaza ulaşmış durumda. Enfeksiyonların %70’ten fazlası, Güney Kore, ABD, Hong Kong, İsveç ve Kanada‘da toplanmış durumda.
Gayfemboy Saldırıları
Son aylarda, DrayTek, TP-Link, Raisecom ve Cisco gibi satıcılara ait ürünlerdeki zafiyetler, kötü niyetli aktörler tarafından hedef alınarak Mirai botnet varyantı olarak adlandırılan gayfemboy adlı bir sürümün dağıtılmasına yol açmıştır. Gayfemboy, çoklu ülkelerde, geniş bir sektör yelpazesini içermektedir. Bu saldırılar, üretim, teknoloji, inşaat ve medya gibi tüm alanlarda etkili olmaktadır.
Gayfemboy, çeşitli sistem mimarilerini etkileyebilme yeteneğine sahiptir. Bununla birlikte, bu kötü amaçlı yazılım, ilerleyen süreçte kullanılan sistem uygulamalarını değiştirebilen yetenekler kazandı. Uygulamalarının çatısını Mirai’den miras alsa da, algılama yeteneğini artıran bazı değişiklikler eklenmiştir.
Son olarak, TA-NATALSTATUS isimli bir tehdit aktörü, açık Redis sunucularını hedef alarak kripto para madencileri dağıtmak için yeni bir kampanya yürütmektedir. Bu saldırılar, güvenilir olmayan Redis sunucularını tarayarak ve onları meşru komutlarla kontrol ederek kötü amaçlı bir sistem inşa ediyor.
