Kripto Madenciliği İçin Hedeflenen Bulut Güvenliği Tehditleri
Son dönemde, bulut güvenliği alanında yapılan araştırmalarda, çeşitli kötü amaçlı yazılım kampanyaları tespit edilmiştir. Bu kampanyalar, bulut ortamlarında bulunan açık güvenlik açıklıklarını ve uyumsuzlukları hedef alarak kripto para madenciliği yapmak amacıyla tasarlanmıştır. Wiz ve Aqua isimli güvenlik firmaları, bu tehdit eylemlerini “Soco404” ve “Koske” olarak kodlandırmıştır. Bu yazıda, bu iki farklı kampanyanın detaylarını inceleyeceğiz.
Soco404 Kampanyası
Soco404, hem Linux hem de Windows sistemlerini hedef alan bir kötü amaçlı yazılımdır. Wiz araştırmacılarından Maor Dokhanian, Shahar Dorfman ve Avigayil Mechtinger, bu kampanyanın, kötü amaçlı faaliyetleri meşru sistem süreçleri gibi göstermek için sahte süreç maskeleme tekniği kullandığını belirtmiştir. Ayrıca, bu kampanya, Google Sites üzerinde barındırılan sahte 404 HTML sayfalarında gizlenmiş yükleme dosyaları ile ilişkilendirilmiştir.
Bu saldırıların daha önce zayıf kimlik bilgilerine sahip Apache Tomcat, Apache Struts ve Atlassian Confluence sunucularını hedeflediği de gözlemlenmiştir. Bunun yanı sıra, saldırganlar PostgreSQL sunucularını ele geçirerek, sistem üzerinde uzaktan kod çalıştırma gerçekleştirmiştir. İlk erişim sağlandığında, PostgreSQL’in COPY … FROM PROGRAM SQL komutu kullanılarak rastgele shell komutları çalıştırılmakta ve uzaktan kod yürütme sağlanmaktadır.
Koske Kampanyası
Kampanyalardan biri olan Koske, şüphelenilen bir büyük dil modeli (LLM) desteği ile geliştirilen yeni bir Linux tehdidi olarak dikkat çekmektedir. Koske’in saldırıları, yanlış yapılandırılmış sunucuları hedef alarak başlayıp, JPEG görüntüleri üzerinden kötü amaçlı yazılımlar yayıcı bir yapıya sahiptir. Saldırganlar, bu görüntü dosyalarına zararlı yazılımları gizleyerek, iki ayrı JPEG görüntüsünden çeşitli komut dosyaları yüklemekte ve bu vasıtayla sistemlere kripto para madencileri yerleştirmektedir.
Koske’nin ana hedefi, sistem kaynaklarını kullanarak 18 farklı kripto para birimini, örneğin Monero, Ravencoin ve Zano gibi madencilik yapmaktır. Araştırmacı Assaf Morag, bu yöntemin steganografi değil, daha çok polyglot dosya istismarları veya kötü amaçlı dosya gömme tekniği olduğunu ifade etmektedir. Zararlı kod, geçerli bir JPG dosyası ile birlikte gizlenmiştir ve dosya yalnızca indirilip çalıştırıldığında etkili olmaktadır.
Kötü Amaçlı Yazılım Taktikleri
Her iki kampanya da, kötü amaçlı yazılımların yayılması için geniş bir taktik yelpazesi kullanmaktadır. Soco404 kampanyasında saldırganlar, Linux sistemlerinde bir dropper shell betiği üzerinden ikinci aşama yüklemeleri indirmek için çalışmakta, aynı zamanda diğer madencilerin faaliyetlerini engelleyerek kendi finansal kazançlarını maksimize etmektedir. Diğer yandan, Windows sistemlerinde de benzer şekilde bir komut dizisi kullanılarak çalıştırıcılar indirilmekte ve bu süreçte NTSYSTEM ayrıcalıkları elde edilmeye çalışılmaktadır.
Bu tür saldırılar; saldırganların geniş bir hedef kitlesine ulaşmasını, sistemlerde varlıklarını sürdürmesini ve çeşitli kötü amaçlı yazılım tekniklerini kullanabilmesini sağlamaktadır. Araştırmalara göre, saldırının arkasındaki kişiler, ortamda mevcut olan her türlü aracı veya tekniği kullanarak yüklerini dağıtma konusunda oldukça esnek bir yaklaşım izlemektedir.
Sonuç ve Öneriler
Gelişen teknoloji ile birlikte, bulut ortamlarının güvenliği her zamankinden daha fazla önem kazanmaktadır. Kripto madenciliği gibi yüksek değerli hedeflerin bulunması, bu tür kötü amaçlı yazılımların artışına sebep olmaktadır. Bulut güvenliği sağlamak için, şirketlerin düzenli olarak sistemlerini güncellemeleri, zayıf kimlik bilgilerine karşı dikkatli olmaları ve mevcut güvenlik yazılımlarını etkili bir şekilde kullanmaları gereklidir. Unutulmaması gereken en önemli konu, proaktif önlemler alarak siber saldırılara karşı dayanıklı bir yapı oluşturmaktır.
