Siber Muhbir

Juniper Threat Labs araştırmacısı Kashinath T Pattan, ".env dosyalarından önemli bilgileri tarayıp çıkararak, AWS ve Twilio ile bağlantılı oturum açma ayrıntılarını ortaya çıkararak çalışıyor" dedi.

"SMTP kırıcı olarak sınıflandırılan bu yazılım, kimlik bilgisinden yararlanma, web kabuğu dağıtımı ve güvenlik açığı taraması gibi çeşitli stratejiler kullanarak SMTP'den yararlanır."

AndroxGh0st, en az 2022'den beri vahşi doğada tespit edildi ve tehdit aktörleri, Laravel ortam dosyalarına erişmek ve Amazon Web Services (AWS), SendGrid ve Twilio gibi çeşitli bulut tabanlı uygulamalar için kimlik bilgilerini çalmak için bundan yararlanıyor.

Python kötü amaçlı yazılımını içeren saldırı zincirlerinin, ilk erişim elde etmek ve ayrıcalık yükseltme ve kalıcılık için Apache HTTP Sunucusu, Laravel Çerçevesi ve PHPUnit'teki bilinen güvenlik kusurlarından yararlandığı bilinmektedir.

Bu Ocak ayının başlarında, ABD siber güvenlik ve istihbarat teşkilatları, saldırganların "hedef ağlarda kurban tanımlama ve istismar" için bir botnet oluşturmak üzere AndroxGh0st kötü amaçlı yazılımını dağıttığı konusunda uyardı.

Pattan, "Androxgh0st ilk olarak Apache'de CVE-2021-41773 olarak tanımlanan ve savunmasız sistemlere erişmesine izin veren bir zayıflık yoluyla giriş yapıyor" dedi.

"Bunu takiben, kod yürütmek ve kalıcı kontrol sağlamak için özellikle CVE-2017-9841 ve CVE-2018-15133 olmak üzere ek güvenlik açıklarından yararlanıyor ve esasen hedeflenen sistemleri ele geçiriyor."

Androxgh0st, .env dosyaları, veritabanları ve bulut kimlik bilgileri dahil olmak üzere çeşitli kaynaklardan hassas verileri sızdırmak için tasarlanmıştır. Bu, tehdit aktörlerinin güvenliği ihlal edilmiş sistemlere ek yükler sunmasına olanak tanır.

Juniper Threat Labs, CVE-2017-9841'in istismarıyla ilgili faaliyetlerde bir artış gözlemlediğini ve kullanıcıların bulut sunucularını en son sürüme güncellemek için hızlı hareket etmelerini zorunlu hale getirdiğini söyledi.

Bal küpü altyapısını hedef alan saldırı girişimlerinin çoğunun ABD, İngiltere, Çin, Hollanda, Almanya, Bulgaristan, Kuveyt, Rusya, Estonya ve Hindistan'dan kaynaklandığını da sözlerine ekledi.

Gelişme, AhnLab Güvenlik İstihbarat Merkezi'nin (ASEC) Güney Kore'de bulunan savunmasız WebLogic sunucularının düşmanlar tarafından hedef alındığını ve bunları z0Miner adlı bir kripto para madencisini ve hızlı ters proxy (FRP) gibi diğer araçları dağıtmak için indirme sunucuları olarak kullandığını ortaya çıkarmasıyla geldi.

Ayrıca, dakikalar içinde 6.000'den fazla EC2 bulut sunucusu oluşturmak ve Meson Network olarak bilinen merkezi olmayan bir içerik dağıtım ağı (CDN) ile ilişkili bir ikili dosya dağıtmak için AWS bulut sunucularına sızan kötü amaçlı bir kampanyanın keşfini de takip ediyor.

"Dünyanın en büyük bant genişliği pazarını" yaratmayı hedefleyen Singapur merkezli şirket, kullanıcıların boşta kalan bant genişliğini ve depolama kaynaklarını jetonlar (yani ödüller) için Meson ile değiştirmelerine izin vererek çalışıyor.

Sysdig, bu ay yayınlanan bir teknik raporda, "Bu, madencilerin Meson Network platformuna sunucu sağladıkları için ödül olarak Meson tokenleri alacakları ve ödülün ağa getirilen bant genişliği ve depolama miktarına göre hesaplanacağı anlamına geliyor" dedi.

"Artık her şey kripto para madenciliği ile ilgili değil. Meson ağı gibi hizmetler, CPU yerine sabit disk alanından ve ağ bant genişliğinden yararlanmak ister. Meson meşru bir hizmet olsa da, bu, saldırganların her zaman para kazanmanın yeni yollarını aradığını gösteriyor."

Bulut ortamlarının tehdit aktörleri için giderek daha kazançlı bir hedef haline gelmesiyle birlikte, yazılımı güncel tutmak ve şüpheli etkinlikleri izlemek çok önemlidir.

Tehdit istihbaratı firması Permiso, cloudgrep'in temelleri üzerine inşa edilen ve iyi bilinen tehdit aktörleriyle ilgili kötü amaçlı olayları işaretlemek için AWS ve Azure'u tarayan CloudGrappler adlı bir araç da yayınladı.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.